感染症狀
如果計算機感染了此蠕蟲病毒,您可能感覺不到任何症狀,也可能會感覺到以下症狀:
- 您可能會收到以下錯誤信息:
The Remote Procedure Call (RPC) service terminated unexpectedly.
The system is shutting down.Please save all work in progress and log off.
Any unsaved changes will be lost.
This shutdown was initiated by NT AUTHOR99vY\SYSTEM.
- 計算機可能會關機,或者反復重新啟動(無固定的時間間隔)。
- 在基於 Windows XP 或 Windows Server 2003 的計算機上會出現一個向 Microsoft 報告的選項對話框。
- 如果您使用的是 Windows 2000 或 Windows NT,則可能會收到“Stop”(停止)錯誤信息。
- 在 Windows\System32 文件夾下,您可能會發現名為 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll 的文件。
- 可能會在計算機上找到異常文件 TFTP*。
有關蠕蟲程序對您計算機所作更改的技術細節,請聯系您的防病毒軟件供應商。有關蠕蟲程序最初版對您計算機所作更改的技術細節,請訪問以下 Microsoft Web 站點:
http://www.microsoft.com/technet/security/topics/virus/default.mspx
若要檢測該病毒,請在 Windows\System32 文件夾中查找名為 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll 的文件;或從防病毒供應商處下載最新的防病毒軟件簽名,然後掃描計算機。
若要搜索這些文件,請:
- 單擊“開始”,單擊“運行”,在“打開”框中鍵入 cmd ,然後單擊“確定”。
- 在命令提示符處鍵入 dir %systemroot%\system32\ 文件名.擴展名 /a /s ,然後按 ENTER 鍵,其中 文件名.擴展名 為 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll。
注意 :對這些文件名稱的每一個,請重復第 2 步:Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 和 Yuetyutr.dll。如果發現上述任何文件,則您的計算機可能感染了蠕蟲。如果發現上述文件,請將其刪除,然後按照本文“恢復”部分的步驟進行處理。若要刪除文件,請在命令提示符處鍵入 del %systemroot%\system32\ 文件名.擴展名 /a ,然後按 ENTER 鍵。
要防止計算機感染此病毒,請按以下步驟進行:
- 打開 Windows XP、Windows Server 2003 標准版和 Windows Server 2003 企業版中的 Windows 防火牆功能;或使用“基本防火牆”、Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火牆,來關閉 TCP 端口 135、139、445 和 593,關閉 UDP 端口 69 (TFTP)、135、137 和 138,以及用於遠程命令外殼程序的 TCP 端口 4444。
若要打開 Windows XP 或 Windows Server 2003 中的 Windows 防火牆,請按照下列步驟操作:
- 單擊“開始”,然後單擊“控制面板”。
- 在“控制面板”中,雙擊“網絡和 Internet 連接”,然後單擊“網絡連接”。
- 右擊您想要打開 Windows 防火牆的連接,然後單擊“屬性”。
- 單擊“高級”選項卡,然後單擊以選中“通過限制或阻止來自 Internet 的對此計算機的訪問來保護我的計算機和網絡”復選框。
注意 :某些撥號連接可能不會在“網絡連接”文件夾中顯示出來。例如,AOL 和 MSN 撥號連接就可能不會顯示出來。在某些情況下,您可使用下列步驟打開“網絡連接”文件夾中未顯示連接的 Windows 防火牆。如果這些步驟不起作用,請和您的 Internet 服務供應商 (ISP) 聯系,獲取如何給 Internet 連接添加防火牆的信息。
- 啟動 Internet Explorer。
- 在“工具”菜單上,單擊“Internet 選項”。
- 單擊“連接”選項卡,單擊您用於連接到 Internet 的撥號連接,然後單擊“設置”。
- 在“撥號設置”區域,單擊“屬性”。
- 單擊“高級”選項卡,然後單擊以選中“通過限制或阻止來自 Internet 的對此計算機的訪問來保護我的計算機和網絡”復選框。
有關如何打開 Windows XP 或 Windows Server 2003 中的 Windows 防火牆的其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
283673 如何在 Windows XP 中啟用或禁用 Windows 防火牆
注意 :只有在 Windows XP、Windows Server 2003 標准版和 Windows Server 2003 企業版上提供了 Windows 防火牆。“基本防火牆”是“路由和遠程訪問”的組件,對於既運行“路由和遠程訪問”又運行 Windows Server 2003 系列操作系統之一的計算機上的任何公共接口,都可啟用“路由和遠程訪問”。
- 此蠕蟲病毒使用一個以前公布的漏洞作為其中一種感染手段。因此,您必須確保在所有計算機上都安裝了 823980 安全修補程序,以便修復在 Microsoft 安全公告 MS03-026 中指出的漏洞。請注意,824146 安全修補程序替代了 823980 安全修補程序。Microsoft 建議您安裝 824146 安全修補程序,它還可以解決 Microsoft 安全公告 MS03-026 (823980) 中指出的問題。 有關 824146 安全修補程序的其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
824146 MS03-039:RPCSS 中的緩沖區溢出使攻擊者可以運行惡意程序
有關 823980 安全修補程序和先決條件(如用於 Windows 版本的 Service Pack)的其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
823980 MS03-026:RPC 接口中的緩沖區溢出可能提供代碼執行機會
要下載 824146 安全修補程序,請單擊與您的操作系統對應的鏈接:
- Windows NT Workstation 4.0
http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE
- Windows NT Server 4.0
http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE
- Windows NT Server 4.0 終端服務器版
http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE
- Windows 2000
http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe
- Windows XP Home Edition、Windows XP Professional、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition
http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe
- Windows XP 64-Bit Version 2002
http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe
- Windows Server 2003(32 位)
http://download.microsoft.com/download/5/7/D/57D367EB-EE72-41D6-99EC-E96724655976/WindowsServer2003-KB824146-x86-ENU.exe
- Windows Server 2003 (64 位)和 Windows XP 64 位 2003 版
http://download.microsoft.com/download/0/B/2/0B2C9630-2E93-4074-94CC-E418B93646DC/WindowsServer2003-KB824146-ia64-ENU.exe
- 使用從您的防病毒軟件供應商處獲得的最新病毒檢測特征庫來檢測新病毒及其變種。
Recovery
根據最佳安全防護方法的建議,您應在系統安全曾被破壞過的計算機上執行一次完全“干淨”的安裝,以便清除掉可能會在將來危及系統安全的任何隱藏利用形式。有關其他信息,請訪問下面的 Cert Advisory Web 站點:
http://www.cert.org/tech_tips/win-unix-system_compromise.html
但是,許多防病毒公司已經編寫了一些工具,用來清除與這個特別的蠕蟲程序相關的已知代碼。要從防病毒軟件供應商處下載清除工具,請根據您的操作系統情況執行下面的過程
Windows XP、Windows Server 2003 標准版和 Windows Server 2003 企業版的恢復措施
- 打開 Windows XP、Windows Server 2003 標准版和 Windows Server 2003 企業版中的 Windows 防火牆功能;或使用“基本防火牆”、Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火牆。
若要打開 Windows 防火牆,請按照下列步驟操作:
- 單擊“開始”,然後單擊“控制面板”。
- 在“控制面板”中,雙擊“網絡和 Internet 連接”,然後單擊“網絡連接”。
- 右擊您想要打開 Windows 防火牆的連接,然後單擊“屬性”。
- 單擊“高級”選項卡,然後單擊以選中“通過限制或阻止來自 Internet 的對此計算機的訪問來保護我的計算機和網絡”復選框。
注意:
- 如果在按照這些步驟操作時,您的計算機關機或反復重新啟動,則在打開防火牆前,斷開和 Internet 的連接。如果是通過寬帶連接到 Internet 的,請找出接到外部 DSL 或電纜調制解調器的電纜,然後將其從調制解調器或電話插孔上拔掉。如果您使用的是撥號連接,請找出從計算機內部的調制解調器連到電話插孔的電話線,然後將其從電話插孔或計算機上拔掉。如果無法斷開和 Internet 的連接,請在命令提示符處鍵入以下命令行,以將 RPCSS 配置為在服務失敗時不重新啟動計算機:
sc failure rpcss reset= 0 actions= restart
要在完成這些步驟後將 RPCSS 重設為默認的恢復設置,請在命令提示符處鍵入以下命令行:
sc failure rpcss reset= 0 actions= reboot/60000
- 如果多台計算機共享一個 Internet 連接,則只在直接連接到 Internet 的計算機上使用防火牆。不要在共享 Internet 連接的其他計算機上使用防火牆。如果您運行的是 Windows XP,請使用“網絡安裝向導”打開 Windows 防火牆。
- 使用防火牆將不會影響您的電子郵件服務或 Web 浏覽,但是防火牆可能會禁用一些 Internet 軟件、服務或功能。如果發生這種情況,可能必須打開防火牆上的一些端口,供某些 Internet 功能使用。請參見不工作的 Internet 服務中包含的文檔,以確定必須打開哪些端口。請參見防火牆中包含的文檔,確定如何打開這些端口。 有關其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
308127 如何在 Windows XP 中手動打開 Windows 防火牆中的端口
- 在某些情況下,您可使用下列步驟打開“網絡連接”文件夾中未顯示連接的 Windows 防火牆。如果這些步驟不起作用,請和您的 Internet 服務供應商 (ISP) 聯系,獲取如何給 Internet 連接添加防火牆的信息。
- 啟動 Internet Explorer。
- 在“工具”菜單上,單擊“Internet 選項”。
- 單擊“連接”選項卡,單擊您用於連接到 Internet 的撥號連接,然後單擊“設置”。
- 在“撥號設置”區域,單擊“屬性”。
- 單擊“高級”選項卡,然後單擊以選中“通過限制或阻止來自 Internet 的對此計算機的訪問來保護我的計算機和網絡”復選框。
有關如何打開 Windows XP 或 Windows Server 2003 中的 Windows 防火牆的其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
283673 如何在 Windows XP 中啟用或禁用 Windows 防火牆
注意 :只有在 Windows XP、Windows Server 2003 標准版和 Windows Server 2003 企業版上提供了 Windows 防火牆。基本防火牆是“路由和遠程訪問”的組件,對於既運行“路由和遠程訪問”、又屬 Windows Server 2003 系列產品的計算機上的任何公共接口,都可啟用“路由和遠程訪問”。
- 請下載 824146 安全修補程序,然後將其安裝在您的所有計算機上,以修復 Microsoft 安全公告 MS03-026 和 MS03-039 中指出的漏洞。若要下載 824146 安全修補程序,請單擊相應的鏈接:
Windows XP Home Edition、Windows XP Professional、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition
http://download.microsoft.com/download/C/D/D/CDD7AC92-E4CC-4B1E-BC2F-7A61B46B23BF/WindowsXP-KB824146-x86-ENU.exe
Windows XP 64-Bit Version 2002
http://download.microsoft.com/download/A/C/E/ACE7FE00-4BF7-4421-8CCF-2913395500AA/WindowsXP-KB824146-ia64-ENU.exe
請注意,824146 安全修補程序替代了 823980 安全修補程序。Microsoft 建議您安裝 824146 安全修補程序,它還可以解決 Microsoft 安全公告 MS03-026 (823980) 中指出的問題 有關 824146 安全修補程序的其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
824146 MS03-039:RPCSS 中的緩沖區溢出使攻擊者可以運行惡意程序
有關 823980 安全修補程序的其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
823980 MS03-026:RPC 接口中的緩沖區溢出可能提供代碼執行機會
- 請安裝或更新您的防病毒特征庫軟件,然後徹底掃描系統。
- 請從您的防病毒供應商處下載並運行蠕蟲程序清除工具。
Windows 2000 和 Windows NT 4.0 的恢復措施
“Windows 防火牆”功能在 Windows 2000 或 Windows NT 4.0 中不可用。如果 Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火牆不能用來阻塞 TCP 端口 135、139、445、593 和 UDP 端口 69 (TFTP)、135、137、138 以及用於遠程命令外殼程序的 TCP 端口 4444,請按照下列步驟操作來幫助阻塞用於局域網 (LAN) 連接的受影響端口。請注意,TCP/IP 篩選不能用於撥號連接。如果您使用撥號連接來連接到 Internet,則應啟用防火牆。
- 配置 TCP/IP 安全。為此,請使用針對您的操作系統的步驟。
Windows 2000
- 在“控制面板”中,雙擊“網絡和撥號連接”。
- 右擊您用於訪問 Internet 的界面,然後單擊“屬性”。
- 在“此連接使用選中的組件”框中,單擊“Internet 協議 (TCP/IP)”,然後單擊“屬性”。
- 在“Internet 協議 (TCP/IP) 屬性”對話框裡,單擊“高級”。
- 單擊 選項 選項卡。
- 單擊“TCP/IP 篩選”,然後單擊“屬性”。
- 單擊以選中“啟用 TCP/IP 篩選(所有適配器)”復選框。
- 該窗口中一共有三列,分別帶有以下標簽:
在每一列中,單擊“僅允許”選項。
- 單擊“確定”。
注意:
Windows NT 4.0
- 在“控制面板”中,雙擊“網絡”。
- 單擊“協議”選項卡,單擊“TCP/IP 協議”,然後單擊“屬性”。
- 單擊“IP 地址”選項卡,然後單擊“高級”。
- 單擊以選中“啟用安全”復選框,然後單擊“配置”。
- 在“TCP 端口”、“UDP 端口”和“IP 協議”欄中,單擊以選中“僅允許”設置。
- 單擊“確定”,然後關閉網絡工具。
- 請下載 824146 安全修補程序,然後將其安裝在您的所有計算機上,以修復 Microsoft 安全公告 MS03-026 和 MS03-039 中指出的漏洞。若要下載 824146 安全修補程序,請單擊相應的鏈接:
Windows NT Workstation 4.0
http://download.microsoft.com/download/3/0/c/30cff3cd-414d-4754-b9db-276de8161eef/WindowsNT4Workstation-KB824146-x86-ENU.EXE
Windows NT Server 4.0
http://download.microsoft.com/download/6/2/1/6216d162-1283-4e05-a505-3dc67b70155c/WindowsNT4Server-KB824146-x86-ENU.EXE
Windows NT Server 4.0 終端服務器版
http://download.microsoft.com/download/8/b/5/8b534384-5ce7-482d-8886-7c3dac565f51/WindowsNT4TerminalServer-KB824146-x86-ENU.EXE
Windows 2000
http://download.microsoft.com/download/0/A/6/0A634E35-F29A-4F26-B006-D315E898EDEF/Windows2000-KB824146-x86-ENU.exe
請注意,824146 安全修補程序替代了 823980 安全修補程序。Microsoft 建議您安裝 824146 安全修補程序,它還可以解決 Microsoft 安全公告 MS03-026 (823980) 中指出的問題 有關 824146 安全修補程序的其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
824146 MS03-039:RPCSS 中的緩沖區溢出使攻擊者可以運行惡意程序
有關 823980 安全修補程序和先決條件(如用於 Windows 版本的 Service Pack)的其他信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
823980 MS03-026:RPC 接口中的緩沖區溢出可能提供代碼執行機會
- 請安裝或更新您的防病毒特征庫軟件,然後徹底掃描系統。
- 請從您的防病毒供應商處下載並運行蠕蟲程序清除工具。
有關參與 Microsoft 的 Virus Information Alliance(VIA,病毒信息聯盟)的防病毒軟件供應商對於此蠕蟲病毒提供的其他技術細節,請訪問以下任何一個第三方的 Web 站點:
- Network Associates
http://us.mcafee.com/virusinfo/default.asp?id=description&virus_k=100547
- Trend Micro
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?vname=worm_msblast.a
- Symantec
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
- Computer Associates
http://www3.ca.com/virusinfo/virus.aspx?id=36265
注意 :如果您不必使用 TCP 篩選,則在您應用本文中介紹的修補程序並驗證您已成功地刪除該蠕蟲後,您可能希望禁用 TCP 篩選。
有關沖擊波蠕蟲程序巳知變種的其他技術細節,請訪問以下 Symantec Web 站點:
- W32.Blaster.C.Worm:Teekids.exe
http://www.sarc.com/avcenter/venc/data/w32.blaster.c.worm.html
- W32.Blaster.B.Worm:Penis32.exe
http://www.sarc.com/avcenter/venc/data/w32.blaster.b.worm.html
- W32.Randex.E:Nstask32.exe、Winlogin.exe、Win32sockdrv.dll 和 Yyuetyutr.dll
http://securityresponse.symantec.com/avcenter/venc/data/w32.randex.e.html
有關在感染此蠕蟲病毒後如何恢復的其他信息,請聯系您的防病毒軟件供應商。
Microsoft 提供了第三方聯系信息以便於您尋求技術支持。這些聯系信息如有更改,恕不另行通知。Microsoft 不保證這些第三方聯系信息的准確性。
有關此蠕蟲病毒的更多信息,請訪問下面的 Microsoft Web 站點:
http://www.microsoft.com/security/incident/blast.asp
如果對於本警報有任何疑問,請聯系您的 Microsoft 代表;或者,在美國請致電 1-866-727-2338 (1-866-PCSafety)。在美國以外請聯系當地的 Microsoft 辦事處。要獲得與病毒相關問題的支持,請訪問下面的 Microsoft 病毒支持新聞組 Web 站點:
news://msnews.microsoft.com/microsoft.public.security.virus
有關與安全問題相關的其他信息,請訪問下面的 Microsoft Web 站點:
http://www.microsoft.com/china/security/default.asp
有關 Microsoft 安全公告 MS03-026 和 MS03-039 的其他與安全相關的信息,請訪問下列 Microsoft Web 站點:
http://www.microsoft.com/china/security/Bulletins/MS03-026.asp
http://www.microsoft.com/china/security/Bulletins/MS03-039.asp