衝擊波蠕蟲及其變種的病毒警報- Windows Server

此蠕蟲會使用之前宣告的漏洞作為其感染方法的一部分。

因此，您必須確定您已在所有的電腦上安裝823980安全性修補程式，以解決Microsoft Security 佈告欄 ... 跳到主要內容 已不再支援此瀏覽器。

請升級至MicrosoftEdge，以利用最新功能、安全性更新和技術支援。

下載MicrosoftEdge 其他資訊 目錄 結束焦點模式 閱讀英文 儲存 目錄 閱讀英文 儲存 編輯 Twitter LinkedIn Facebook 電子郵件 WeChat 目錄 衝擊波蠕蟲及其變種的病毒警報 發行項 09/24/2021 2位參與者 此頁面有所助益嗎？ Yes No 還有其他意見反應嗎？ 系統會將意見反應傳送給Microsoft：按下[提交]按鈕，您的意見反應將用來改善Microsoft產品和服務。

隱私權原則。

送出 謝謝。

本文內容 本文說明有關衝擊波蠕蟲及其變種的病毒警報，包含如何防止和復原來自Blaster蠕蟲及其變種之感染的資訊。

適用于： Windows10-alledition，WindowsServer2012R2 原始KB編號： 826955 摘要 在2003年8月11日，Microsoft開始調查由Microsoft產品支援服務(PSS)所報告的蠕蟲，以及MicrosoftPSS安全小組發出警示，告知客戶有關新的蠕蟲。

Worm是一種電腦病毒類型，通常會在沒有使用者動作的情況下傳播，而且會發佈完整的副本，以(在網際網路)等網路(上)自身的自我修改。

稱為「衝擊波」，這項新的蠕蟲會利用Microsoft安全佈告欄MS03-026(823980)所解決的漏洞，在執行本文開頭所列之任何產品的電腦上，使用開放遠端程式呼叫(RPC)埠，以透過網路傳播自身。

本文包含有關網路系統管理員和IT專業人員的資訊，這些資訊可讓您避免以及如何從衝擊波蠕蟲程式和變種的感染中復原。

此蠕蟲及其變種也稱為W32。

BlasterWorm（W32）。

BlasterWorm（W32）。

BlasterWorm（W32）。

Randex(Symantec)，W32/Lovsan。

worm(McAfee)，WORM_MSBLAST。

(Trendmicro)，以及Posa電腦)的(電腦相關聯。

如需復原此蠕蟲的其他資訊，請與您的防毒軟體廠商聯繫。

如需有關防毒軟體廠商的其他資訊，請按一下下列文章編號，以查看Microsoft知識庫中的文章： 49500防毒軟體廠商清單 如果您是家庭使用者，請流覽下列Microsoft網站，以取得協助您保護電腦的步驟，並在電腦遭到Blaster感染時進行復原： 何謂MicrosoftSecurityEssentials？ 注意 如果您已在823980年8月112003日)之前安裝安全性修補程式(MS03-026，您的電腦就不會受到衝擊波蠕蟲的攻擊()。

如果您已在823980年8月11日之前(MS03-026)安裝安全性修補程式2003，則不需要執行任何其他動作。

microsoft測試WindowsNT工作站4.0，WindowsNTserver4.0，WindowsNTServer4.0，TerminalserverEdition，Windows2000，WindowsXP，及WindowsServer2003，以評估Microsoft安全佈告欄MS03-026(所解決的漏洞是否受到影響。

823980)。

WindowsMillenniumEdition不包含與這些漏洞相關聯的功能。

舊版本已不再支援，這些漏洞可能也可能不會受到影響。

如需Microsoft支援週期的其他資訊，請流覽下列Microsoft網站： 搜尋產品和服務生命週期資訊。

與這些漏洞相關聯的功能也不會包含在Windows95、Windows98或Windows98第二個Edition中，即使已安裝DCOM也是一樣。

如果您使用任何版本的Windows，便不需要執行任何動作。

如果您已安裝Windows2000Servicepack4的WindowsXPServicepack2或更新彙總套件1，則您的電腦不易遭受衝擊波蠕蟲。

安全更新824146包含在這些servicepack中。

如果您已安裝這些servicepack，您不需要執行任何其他動作。

如需詳細資訊，請按一下下列文章編號，以查看Microsoft知識庫中的文章： 322389如何取得最新版的WindowsXPservicepack。

感染的徵兆 如果您的電腦已感染此蠕蟲，您可能無法享受任何的任何徵兆，否則您可能會遇到下列任何一種可能的問題： 您可能會收到下列錯誤訊息： 遠端過程呼叫(RPC)服務意外終止。

系統已關機。

儲存進行中的所有工作並登出。

任何未儲存的變更將會遺失。

這種關閉是由NT授權\系統所啟動。

電腦可能會關機，也可能會隨機重新開機（隨機重複）。

在WindowsXP或在Windows2003伺服器上的電腦上，可能會出現一個對話方塊，讓您可以選擇將問題報告給Microsoft。

如果您使用Windows2000或WindowsNT，您可能會收到Stop錯誤訊息。

您可以在Winlogin.exeSystem32資料夾中找到名為Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Win32sockdrv.dll、Yuetyutr.dll或Windows的檔案\。

您可能會發現電腦上有不尋常的TFTP檔案*。

技術詳細資料 如需此蠕蟲程式對電腦所做變更的技術詳細資料，請與您的防毒軟體廠商聯繫。

若要偵測此病毒，請在Winlogin.exeSystem32資料夾中搜尋名為Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Win32sockdrv.dll、Yuetyutr.dll或Windows的檔案\，或從防毒軟體供應商下載最新的防毒軟體簽名，然後掃描您的電腦。

若要搜尋這些檔案： 依序按一下[開始]、[執行]，在[開啟]方塊中輸入cmd，然後按一下[確定]。

在命令提示字元處輸入dir%systemroot%\system32\filename.ext/a/s，然後按enter，其中filename為Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll或Yuetyutr.dll。

注意 針對下列檔案名重複步驟2：Msblast.exe、Nstask32.exe、Penis32.exe、Teekids.exe、Winlogin.exe、Win32sockdrv.dll和Yuetyutr.dll。

如果您找到這些檔案中的任何一種，您的電腦可能感染蠕蟲。

如果您找到其中一個檔案，請刪除該檔案，然後依照本文的「復原」一節中的步驟進行。

若要刪除檔案，請del%systemroot%\system32\filename.ext/a在命令提示字元處輸入，然後按enter鍵。

預防 若要防止此病毒感染您的電腦，請遵循下列步驟： 開啟WindowsXP中的網際網路連線防火牆功能(ICF)，Windowsserver2003，StandardEdition，及WindowsServer2003，EnterpriseEdition;或是使用基本的防火牆、MicrosoftInternet安全性和加速度(ISA)Server2000，或是協力廠商防火牆，以封鎖TCP埠135、139、445和593;UDP埠69(TFTP)、135、137及138;和TCP埠4444用於遠端命令介面。

若要在WindowsXP或WindowsServer2003中開啟ICF，請遵循下列步驟： 按一下[開始]，然後按一下[控制台]。

在[控制台]中，按兩下[網路和網際網路連線]，然後按一下[網路連接]。

以滑鼠右鍵按一下您要開啟網際網路連線防火牆的連線，然後按一下[屬性]。

按一下[高級]索引標籤，然後按一下以選取[以限制或防止來自網際網路的電腦存取權來保護我的電腦或網路]核取方塊。

注意 有些撥號連線可能不會出現在[網路連線]資料夾中。

例如，AOL和MSN撥號連線可能不會出現。

在某些情況下，您可以使用下列步驟，開啟未出現在[網路連接]資料夾中之連線的ICF。

如果這些步驟無法運作，請聯繫網際網路服務提供者(ISP)，以取得如何建立網際網路連線防火牆的相關資訊。

啟動InternetExplorer。

按一下[工具]功能表上的[網際網路選項]。

按一下[連線]索引標籤，按一下您用來連線至網際網路的撥號連線，然後按一下[設定]。

在[撥號設定]區域中，按一下[屬性]。

按一下[高級]索引標籤，然後按一下以選取[以限制或防止來自網際網路的電腦存取權來保護我的電腦或網路]核取方塊。

如需如何在WindowsXP或WindowsServer2003中開啟網際網路連線防火牆的詳細資訊，請按一下下列文章編號，以查看Microsoft知識庫中的文章： 283673如何在WindowsXP中開啟或關閉防火牆 注意 ICF只能在WindowsXP上使用Windowsserver2003、StandardEdition和WindowsServer2003，EnterpriseEdition。

基本防火牆是路由和遠端存取的元件，您可以在同時執行路由和遠端存取的電腦上，為任何公開介面啟用，以及WindowsServer2003系列的成員。

此蠕蟲會使用之前宣告的漏洞作為其感染方法的一部分。

因此，您必須確定您已在所有的電腦上安裝823980安全性修補程式，以解決MicrosoftSecurity佈告欄MS03-026中所識別的漏洞。

824146安全性修補程式會取代823980安全性修補程式。

Microsoft建議您安裝824146安全性修補程式，其中也包含MicrosoftSecurity佈告欄MS03-026(823980)中所解決問題的修正。

使用來自您防病毒廠商的最新病毒偵測簽章，以偵測新的病毒及其變種。

復原 安全性的最佳作法建議您在先前遭到破壞的電腦上執行完整的「全新」安裝，以移除可能導致未來受損的任何未探索的漏洞。

如需詳細資訊，請造訪下列的Cert諮詢網站： 從UNIX或NT系統復原的步驟遭到損害。

不過，許多防病毒公司已撰寫工具，以移除與此特定蠕蟲相關聯的已知利用方式。

若要從防毒軟體供應商下載移除工具，請根據您的作業系統使用下列程式。

WindowsXP的復原Windows伺服器2003、StandardEdition和Windows伺服器2003，EnterpriseEdition 開啟WindowsXP中的網際網路連線防火牆功能(ICF)，Windowsserver2003、StandardEdition和WindowsServer2003，EnterpriseEdition;或是使用基本的防火牆、MicrosoftInternet安全性和加速度(ISA)Server2000，或協力廠商防火牆。

若要開啟ICF，請遵循下列步驟： 按一下[開始]，然後按一下[控制台]。

在[控制台]中，按兩下[網路和網際網路連線]，然後按一下[網路連接]。

以滑鼠右鍵按一下您要開啟網際網路連線防火牆的連線，然後按一下[屬性]。

按一下[高級]索引標籤，然後按一下以選取[以限制或防止來自網際網路的電腦存取權來保護我的電腦或網路]核取方塊。

注意 當您嘗試遵循這些步驟時，當您的電腦重複關機或重新開機時，請先中斷網際網路的連線，再開啟防火牆。

如果您透過寬頻連線連線到網際網路，請找出從外部DSL或纜線數據機所執行的電纜，然後從數據機或電話插口拔下該纜線。

如果您使用撥號連線，請找出從電腦內數據機所執行的電話線，移至您的電話插孔，然後從電話插口或您的電腦拔下該纜線。

如果您無法中斷網際網路的連線，請在命令提示字元處輸入下行，設定當服務失敗時，不會重新開機電腦的RPCSS：scfailurerpcssreset=0actions=restart。

若要在完成這些步驟之後，將RPCSS重設為預設復原設定，請在命令提示字元處輸入下列命令列：scfailurerpcssreset=0actions=reboot/60000。

如果您有多部電腦共用網際網路連線，請僅在直接連線至網際網路的電腦上使用防火牆。

請勿在其他共用網際網路連線的電腦上使用防火牆。

如果您是在WindowsXP中執行，請使用網路安裝精靈來開啟ICF。

使用防火牆不會影響您的電子郵件服務或網路流覽，但防火牆可以停用某些網際網路軟體、服務或功能。

如果發生這種情況，您可能必須開啟防火牆上的某些埠，一些網際網路功能才能正常運作。

請參閱網際網路服務隨附的檔，該服務無法正常運作，以判斷您必須開啟的埠。

請參閱防火牆隨附的檔，以決定如何開啟這些埠。

在某些情況下，您可以使用下列步驟，開啟未出現在[網路連接]資料夾中之連線的ICF。

如果這些步驟無法運作，請聯繫網際網路服務提供者(ISP)，以取得如何建立網際網路連線防火牆的相關資訊。

啟動InternetExplorer。

按一下[工具]功能表上的[網際網路選項]。

按一下[連線]索引標籤，按一下您用來連線至網際網路的撥號連線，然後按一下[設定]。

在[撥號設定]區域中，按一下[屬性]。

按一下[高級]索引標籤，然後按一下以選取[以限制或防止來自網際網路的電腦存取權來保護我的電腦或網路]核取方塊。

如需如何在WindowsXP或WindowsServer2003中開啟網際網路連線防火牆的詳細資訊，請按一下下列文章編號，以查看Microsoft知識庫中的文章： 283673如何在WindowsXP中開啟或關閉防火牆 注意 ICF只能在WindowsXP上使用Windowsserver2003、StandardEdition和WindowsServer2003，EnterpriseEdition。

基本防火牆是路由和遠端存取的元件，您可以在執行路由和遠端存取之電腦上的任何公開介面上啟用，這是WindowsServer2003系列的成員。

下載824146安全性修補程式，然後將它安裝在所有的電腦上，以解決MicrosoftSecurity佈告MS03-026andMS03-039中所識別的漏洞。

注意 824146安全性修補程式會取代823980安全性修補程式。

Microsoft建議您安裝824146安全性修補程式，其中也包含MicrosoftSecurity佈告欄MS03-026(823980)中所解決問題的修正。

安裝或更新防病毒簽名軟體，然後執行完整的系統掃描。

從防毒軟體廠商下載並執行worm清除工具。

恢復Windows2000和WindowsNT4。

0 Windows2000或WindowsNT4.0中無法使用網際網路連線防火牆功能。

如果MicrosoftInternetSecurityand加速(ISA)Server2000或協力廠商防火牆不能封鎖TCP埠135、139、445和593、UDP埠69(TFTP)、135、137和138，以及TCP埠4444，請遵循下列步驟，以封鎖局域網(網路連線的受影響埠。

無法使用撥號連線的TCP/IP篩選功能。

如果您使用撥號連線來連線到網際網路，您應該啟用防火牆。

設定TCP/IP安全性。

若要這麼做，請使用您作業系統的程式。

Windows2000 在[控制台]中，按兩下[網路和撥號連線]。

以滑鼠右鍵按一下您用來存取網際網路的介面，然後按一下[屬性]。

在[此連線使用下列選取的元件]方塊中，按一下[網際網路通訊協定(TCP/IP)]，然後按一下[屬性]。

在[網際網路通訊協定(TCP/IP)屬性]對話方塊中，按一下[高級]。

按一下[選項]索引標籤。

按一下[TCP/IP篩選]，然後按一下[屬性]。

按一下以選取[啟用TCP/IP篩選(所有配接器)]核取方塊。

有三欄，其標籤如下： TCP埠 UDP埠 IP通訊協定 在每一欄中，按一下[僅允許]選項。

按一下[確定]。

注意 當您嘗試遵循這些步驟時，當您的電腦重複關機或重新開機時，請先中斷網際網路的連線，再開啟防火牆。

如果您透過寬頻連線連線到網際網路，請找出從外部DSL或纜線數據機所執行的電纜，然後從數據機或電話插口拔下該纜線。

如果您使用撥號連線，請找出從電腦內數據機所執行的電話線，移至您的電話插孔，然後從電話插口或您的電腦拔下該纜線。

如果您有多部電腦共用網際網路連線，請僅在直接連線至網際網路的電腦上使用防火牆。

請勿在其他共用網際網路連線的電腦上使用防火牆。

使用防火牆不會影響您的電子郵件服務或網路流覽，但防火牆可以停用某些網際網路軟體、服務或功能。

如果發生這種情況，您可能必須開啟防火牆上的某些埠，一些網際網路功能才能正常運作。

請參閱網際網路服務隨附的檔，該服務無法正常運作，以判斷您必須開啟的埠。

請參閱防火牆隨附的檔，以決定如何開啟這些埠。

這些步驟是以Microsoft知識庫文章309798中修改過的摘選為基礎。

WindowsNT4.0 在[控制台]中，按兩下[網路]。

按一下[通訊協定]索引標籤，按一下[TCP/IP通訊協定]，然後按一下[屬性]。

按一下[IP位址]索引標籤，然後按一下[高級]。

按一下以選取[啟用安全性]核取方塊，然後按一下[設定]。

在[TCP埠]、[UDP埠]及[IP通訊協定]欄中，按一下以選取[僅允許]設定。

按一下[確定]，然後關閉[網路工具]。

下載824146安全性修補程式，然後將它安裝在所有的電腦上，以解決MicrosoftSecurity佈告MS03-026andMS03-039中所識別的漏洞。

824146安全性修補程式會取代823980安全性修補程式。

Microsoft建議您安裝824146安全性修補程式，其中也包含MicrosoftSecurity佈告欄MS03-026(823980)中所解決問題的修正。

安裝或更新防病毒簽名軟體，然後執行完整的系統掃描。

從防毒軟體廠商下載並執行worm清除工具。

如需有關透過)加入Microsoft病毒資訊(同盟之防毒軟體廠商的衝擊波蠕蟲其他技術詳細資料，請造訪下列任何協力廠商網站： 網路夥伴 走向微 賽門鐵克 電腦關聯 注意 如果您不需要使用TCP篩選，您可以在套用本文所述的修正程式後停用TCP篩選，並確認您已成功移除蠕蟲。

如需有關Blaster蠕蟲的已知變種的其他技術詳細資訊，請造訪下列Symantec網站： W32.Nstask32.exeRandex、Winlogin.exe、Win32sockdrv.dll和Yyuetyutr.dll Symantec的安全性中心。

如需Microsoft病毒資訊同盟的詳細資訊，請造訪下列Microsoft網站： Microsoft安全性回應中心。

如需如何復原此蠕蟲的其他資訊，請與您的防病毒廠商聯繫。

Microsoft提供協力廠商的連絡資訊，協助您尋找技術支援。

此連絡資訊如有變更，恕不另行通知。

Microsoft不保證此協力廠商連絡資訊的正確性。

參考 如需Microsoft關於此蠕蟲的最新資訊，請造訪Microsoft防毒程式和安全中心的資源和工具，讓您的電腦安全性且健康。

如果您遇到安裝更新本身的問題，請造訪Microsoftupdateforthe資源和工具，以讓您的電腦更新為最新的更新。

本文內容