关于冲击波蠕虫及其变种的病毒警报
如果计算机感染了此蠕虫病毒,您可能感觉不到任何症状,也可能会感觉到以下症状:
您可能会收到以下错误信息:
The Remote Procedure Call (RPC) service terminated unexpectedly.
The system is shutting down.Please save all work in progress and log off.
Any unsaved changes will be lost.
This shutdown was initiated by NT AUTHORITY\SYSTEM.
计算机可能会关机,或者反复重新启动(无固定的时间间隔)。
在基于 Windows XP 或 Windows Server 2003 的计算机上会出现一个向 Microsoft 报告的选项对话框。
如果您使用的是 Windows 2000 或 Windows NT,则可能会收到Stop(停止)错误信息。
在 Windows\System32 文件夹下,您可能会发现名为 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll 的文件。
可能会在计算机上找到异常文件 TFTP*。
有关蠕虫程序对您计算机所作更改的技术细节,请联系您的防病毒软件供应商。有关蠕虫程序最初版对您计算机所作更改的技术细节,请访问以下 Microsoft Web 站点:
若要检测该病毒,请在 Windows\System32 文件夹中查找名为 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll 的文件;或从防病毒供应商处下载最新的防病毒软件签名,然后扫描计算机。
若要搜索这些文件,请:
单击开始,单击运行,在打开框中键入 cmd ,然后单击确定。
在命令提示符处键入 dir %systemroot%\system32\ 文件名.扩展名 /a /s ,然后按 ENTER 键,其中 文件名.扩展名 为 Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 或 Yuetyutr.dll。
注意 :对这些文件名称的每一个,请重复第 2 步:Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll 和 Yuetyutr.dll。如果发现上述任何文件,则您的计算机可能感染了蠕虫。如果发现上述文件,请将其删除,然后按照本文恢复部分的步骤进行处理。若要删除文件,请在命令提示符处键入 del %systemroot%\system32\ 文件名.扩展名 /a ,然后按 ENTER 键。
要防止计算机感染此病毒,请按以下步骤进行:
打开 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版中的 Windows 防火墙功能;或使用基本防火墙、Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙,来关闭 TCP 端口 135、139、445 和 593,关闭 UDP 端口 69 (TFTP)、135、137 和 138,以及用于远程命令外壳程序的 TCP 端口 4444。
若要打开 Windows XP 或 Windows Server 2003 中的 Windows 防火墙,请按照下列步骤操作:
单击开始,然后单击控制面板。
在控制面板中,双击网络和 Internet 连接,然后单击网络连接。
右击您想要打开 Windows 防火墙的连接,然后单击属性。
单击高级选项卡,然后单击以选中通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络复选框。
注意 :某些拨号连接可能不会在网络连接文件夹中显示出来。例如,AOL 和 MSN 拨号连接就可能不会显示出来。在某些情况下,您可使用下列步骤打开网络连接文件夹中未显示连接的 Windows 防火墙。如果这些步骤不起作用,请和您的 Internet 服务供应商 (ISP) 联系,获取如何给 Internet 连接添加防火墙的信息。
启动 Internet Explorer。
在工具菜单上,单击Internet 选项。
单击连接选项卡,单击您用于连接到 Internet 的拨号连接,然后单击设置。
在拨号设置区域,单击属性。
单击高级选项卡,然后单击以选中通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络复选框。
有关如何打开 Windows XP 或 Windows Server 2003 中的 Windows 防火墙的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
如何在 Windows XP 中启用或禁用 Windows 防火墙
注意 :只有在 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版上提供了 Windows 防火墙。基本防火墙是路由和远程访问的组件,对于既运行路由和远程访问又运行 Windows Server 2003 系列操作系统之一的计算机上的任何公共接口,都可启用路由和远程访问。
此蠕虫病毒使用一个以前公布的漏洞作为其中一种感染手段。因此,您必须确保在所有计算机上都安装了 823980 安全修补程序,以便修复在 Microsoft 安全公告 MS03-026 中指出的漏洞。请注意,824146 安全修补程序替代了 823980 安全修补程序。Microsoft 建议您安装 824146 安全修补程序,它还可以解决 Microsoft 安全公告 MS03-026 (823980) 中指出的问题。 有关 824146 安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
有关 823980 安全修补程序和先决条件(如用于 Windows 版本的 Service Pack)的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
MS03-026:RPC 接口中的缓冲区溢出可能提供代码执行机会
要下载 824146 安全修补程序,请单击与您的操作系统对应的链接:
Windows NT Workstation 4.0
Windows NT Server 4.0
Windows NT Server 4.0 终端服务器版
Windows 2000
Windows XP Home Edition、Windows XP Professional、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition
Windows XP 64-Bit Version 2002
Windows Server 2003(32 位)
Windows Server 2003 (64 位)和 Windows XP 64 位 2003 版
使用从您的防病毒软件供应商处获得的最新病毒检测特征库来检测新病毒及其变种。
根据最佳安全防护方法的建议,您应在系统安全曾被破坏过的计算机上执行一次完全干净的安装,以便清除掉可能会在将来危及系统安全的任何隐藏利用形式。有关其他信息,请访问下面的 Cert Advisory Web 站点:
但是,许多防病毒公司已经编写了一些工具,用来清除与这个特别的蠕虫程序相关的已知代码。要从防病毒软件供应商处下载清除工具,请根据您的操作系统情况执行下面的过程
Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版的恢复措施打开 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版中的 Windows 防火墙功能;或使用基本防火墙、Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙。
若要打开 Windows 防火墙,请按照下列步骤操作:
单击开始,然后单击控制面板。
在控制面板中,双击网络和 Internet 连接,然后单击网络连接。
右击您想要打开 Windows 防火墙的连接,然后单击属性。
单击高级选项卡,然后单击以选中通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络复选框。如果在按照这些步骤操作时,您的计算机关机或反复重新启动,则在打开防火墙前,断开和 Internet 的连接。如果是通过宽带连接到 Internet 的,请找出接到外部 DSL 或电缆调制解调器的电缆,然后将其从调制解调器或电话插孔上拔掉。如果您使用的是拨号连接,请找出从计算机内部的调制解调器连到电话插孔的电话线,然后将其从电话插孔或计算机上拔掉。如果无法断开和 Internet 的连接,请在命令提示符处键入以下命令行,以将 RPCSS 配置为在服务失败时不重新启动计算机:
sc failure rpcss reset= 0 actions= restart
要在完成这些步骤后将 RPCSS 重设为默认的恢复设置,请在命令提示符处键入以下命令行:
sc failure rpcss reset= 0 actions= reboot/60000
如果多台计算机共享一个 Internet 连接,则只在直接连接到 Internet 的计算机上使用防火墙。不要在共享 Internet 连接的其他计算机上使用防火墙。如果您运行的是 Windows XP,请使用网络安装向导打开 Windows 防火墙。
使用防火墙将不会影响您的电子邮件服务或 Web 浏览,但是防火墙可能会禁用一些 Internet 软件、服务或功能。如果发生这种情况,可能必须打开防火墙上的一些端口,供某些 Internet 功能使用。请参见不工作的 Internet 服务中包含的文档,以确定必须打开哪些端口。请参见防火墙中包含的文档,确定如何打开这些端口。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
如何在 Windows XP 中手动打开 Windows 防火墙中的端口
在某些情况下,您可使用下列步骤打开网络连接文件夹中未显示连接的 Windows 防火墙。如果这些步骤不起作用,请和您的 Internet 服务供应商 (ISP) 联系,获取如何给 Internet 连接添加防火墙的信息。
启动 Internet Explorer。
在工具菜单上,单击Internet 选项。
单击连接选项卡,单击您用于连接到 Internet 的拨号连接,然后单击设置。
在拨号设置区域,单击属性。
单击高级选项卡,然后单击以选中通过限制或阻止来自 Internet 的对此计算机的访问来保护我的计算机和网络复选框。
有关如何打开 Windows XP 或 Windows Server 2003 中的 Windows 防火墙的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
如何在 Windows XP 中启用或禁用 Windows 防火墙
注意 :只有在 Windows XP、Windows Server 2003 标准版和 Windows Server 2003 企业版上提供了 Windows 防火墙。基本防火墙是路由和远程访问的组件,对于既运行路由和远程访问、又属 Windows Server 2003 系列产品的计算机上的任何公共接口,都可启用路由和远程访问。
请下载 824146 安全修补程序,然后将其安装在您的所有计算机上,以修复 Microsoft 安全公告 MS03-026 和 MS03-039 中指出的漏洞。若要下载 824146 安全修补程序,请单击相应的链接:
Windows XP Home Edition、Windows XP Professional、Windows XP Tablet PC Edition 和 Windows XP Media Center Edition
Windows XP 64-Bit Version 2002
请注意,824146 安全修补程序替代了 823980 安全修补程序。Microsoft 建议您安装 824146 安全修补程序,它还可以解决 Microsoft 安全公告 MS03-026 (823980) 中指出的问题 有关 824146 安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
有关 823980 安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
MS03-026:RPC 接口中的缓冲区溢出可能提供代码执行机会
请安装或更新您的防病毒特征库软件,然后彻底扫描系统。
请从您的防病毒供应商处下载并运行蠕虫程序清除工具。
Windows 防火墙功能在 Windows 2000 或 Windows NT 4.0 中不可用。如果 Microsoft Internet Security and Acceleration (ISA) Server 2000 或第三方防火墙不能用来阻塞 TCP 端口 135、139、445、593 和 UDP 端口 69 (TFTP)、135、137、138 以及用于远程命令外壳程序的 TCP 端口 4444,请按照下列步骤操作来帮助阻塞用于局域网 (LAN) 连接的受影响端口。请注意,TCP/IP 筛选不能用于拨号连接。如果您使用拨号连接来连接到 Internet,则应启用防火墙。
配置 TCP/IP 安全。为此,请使用针对您的操作系统的步骤。
Windows 2000
在控制面板中,双击网络和拨号连接。
右击您用于访问 Internet 的界面,然后单击属性。
在此连接使用选中的组件框中,单击Internet 协议 (TCP/IP),然后单击属性。
在Internet 协议 (TCP/IP) 属性对话框里,单击高级。
单击 选项 选项卡。
单击TCP/IP 筛选,然后单击属性。
单击以选中启用 TCP/IP 筛选(所有适配器)复选框。
该窗口中一共有三列,分别带有以下标签:
TCP 端口
UDP 端口
IP 协议
在每一列中,单击仅允许选项。
单击确定。
注意:
如果在按照这些步骤操作时,您的计算机关机或反复重新启动,则在打开防火墙前,断开和 Internet 的连接。如果是通过宽带连接到 Internet 的,请找出接到外部 DSL 或电缆调制解调器的电缆,然后将其从调制解调器或电话插孔上拔掉。如果您使用的是拨号连接,请找出从计算机内部的调制解调器连到电话插孔的电话线,然后将其从电话插孔或计算机上拔掉。
如果多台计算机共享一个 Internet 连接,则只在直接连接到 Internet 的计算机上使用防火墙。不要在共享 Internet 连接的其他计算机上使用防火墙。
使用防火墙将不会影响您的电子邮件服务或 Web 浏览,但是防火墙可能会禁用一些 Internet 软件、服务或功能。如果发生这种情况,可能必须打开防火墙上的一些端口,供某些 Internet 功能使用。请参见不工作的 Internet 服务中包含的文档,以确定必须打开哪些端口。请参见防火墙中包含的文档,确定如何打开这些端口。
这些步骤是通过修改 Microsoft 知识库中编号为 309798 的文章的节选内容而得来的。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
如何在 Windows 2000 中配置 TCP/IP 筛选
Windows NT 4.0
在控制面板中,双击网络。
单击协议选项卡,单击TCP/IP 协议,然后单击属性。
单击IP 地址选项卡,然后单击高级。
单击以选中启用安全复选框,然后单击配置。
在TCP 端口、UDP 端口和IP 协议栏中,单击以选中仅允许设置。
单击确定,然后关闭网络工具。请下载 824146 安全修补程序,然后将其安装在您的所有计算机上,以修复 Microsoft 安全公告 MS03-026 和 MS03-039 中指出的漏洞。若要下载 824146 安全修补程序,请单击相应的链接:
Windows NT Workstation 4.0
Windows NT Server 4.0
Windows NT Server 4.0 终端服务器版
Windows 2000
请注意,824146 安全修补程序替代了 823980 安全修补程序。Microsoft 建议您安装 824146 安全修补程序,它还可以解决 Microsoft 安全公告 MS03-026 (823980) 中指出的问题 有关 824146 安全修补程序的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
有关 823980 安全修补程序和先决条件(如用于 Windows 版本的 Service Pack)的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
MS03-026:RPC 接口中的缓冲区溢出可能提供代码执行机会
请安装或更新您的防病毒特征库软件,然后彻底扫描系统。
请从您的防病毒供应商处下载并运行蠕虫程序清除工具。
有关参与 Microsoft 的 Virus Information Alliance(VIA,病毒信息联盟)的防病毒软件供应商对于此蠕虫病毒提供的其他技术细节,请访问以下任何一个第三方的 Web 站点:
Network Associates
Trend Micro
Symantec
Computer Associates
注意 :如果您不必使用 TCP 筛选,则在您应用本文中介绍的修补程序并验证您已成功地删除该蠕虫后,您可能希望禁用 TCP 筛选。
有关冲击波蠕虫程序巳知变种的其他技术细节,请访问以下 Symantec Web 站点:
W32.Blaster.C.Worm:Teekids.exe
W32.Blaster.B.Worm:Penis32.exe
W32.Randex.E:Nstask32.exe、Winlogin.exe、Win32sockdrv.dll 和 Yyuetyutr.dll
有关在感染此蠕虫病毒后如何恢复的其他信息,请联系您的防病毒软件供应商。
Microsoft 提供了第三方联系信息以便于您寻求技术支持。这些联系信息如有更改,恕不另行通知。Microsoft 不保证这些第三方联系信息的准确性。
参考
有关此蠕虫病毒的更多信息,请访问下面的 Microsoft Web 站点:
如果对于本警报有任何疑问,请联系您的 Microsoft 代表;或者,在美国请致电 1-866-727-2338 (1-866-PCSafety)。在美国以外请联系当地的 Microsoft 办事处。要获得与病毒相关问题的支持,请访问下面的 Microsoft 病毒支持新闻组 Web 站点:
news://:0/
有关与安全问题相关的其他信息,请访问下面的 Microsoft Web 站点:
有关 Microsoft 安全公告 MS03-026 和 MS03-039 的其他与安全相关的信息,请访问下列 Microsoft Web 站点:
