Rozpoznání a oprava po útoku podobnému viru typu MIRC Trojan

Překlady článku Překlady článku
ID článku: 328691
Tento článek byl dříve publikován CZ328691
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Aktualizace: K 6. září 2002 je možné pozorovat výrazně nižší počet oznámení o škodlivých aktivitách popsaných v tomto článku. Skupina zabezpečení služby technické podpory Microsoft Product Support Services upravila tento článek znalostní báze Microsoft Knowledge Base tak, aby odpovídal těmto informacím, a doplnila doporučení pro rozpoznání a odstranění těchto potíží.

Společnost Microsoft zjistila nárůst aktivit, snažících se na servery se systémem Microsoft Windows 2000 uložit škodlivý programový kód. Tato aktivita je obvykle spojená s programem identifikovaným jako Backdoor.IRC.Flood.

Analýzou zasažených počítačů společnost Microsoft určila, že tyto útoky nezneužívají žádné nové chyby zabezpečení a nemají formu virů či programů typu worm. Tyto útoky se pouze pokoušejí zneužít situace, kdy nebyla učiněna standardní opatření popsaná v části "Prevence" v tomto článku. Tato aktivita se zdá být spojená s koordinovanou řadou jednotlivých útoků na servery se systémem Windows 2000. Úspěšný útok zanechává charakteristické znaky. Tento článek uvádí soubory a programy, které mohou sloužit jako důkaz úspěšného útoku s těmito znaky, aby bylo možné učinit vhodná opatření:
  • Rozpoznat zasažené počítače
  • Opravit a obnovit funkci zasažených počítačů

Další informace

Dopad útoku

Zasažení serveru

Příznaky

Zasažený systém vykazuje následující příznaky:
  • Antivirové programy mohou hlásit nalezení viru typu Trojský kůň, jako například Backdoor.IRC.Flood a jeho varianty. Většina aktuálních antivirových programů (s aktuálními signaturami) tyto viry nalezne.
  • Pokud má zasažený systém funkci řadiče domény, byly změněny zásady zabezpečení. Mezi možné důsledky změny zásad zabezpečení patří:
    • Účty hostů, které byly dříve zakázané, jsou nyní povolené.
    • Nové neověřené účty, případně s oprávněními správce
    • Změna oprávnění zabezpečení serverů či služby Active Directory
    • Uživatelé se nemohou přihlásit k doméně z pracovní stanice.
    • Uživatelé nemohou spustit moduly snap-in služby Active Directory.
    • Chybové protokoly obsahují záznamy o množství nezdařených pokusů o přihlášení oprávněných uživatelů, jejichž účty byly uzamčeny.

Technické informace

Pokud byl počítač zasažen, antivirový program může najít kód Backdoor.IRC.Flood či jeho varianty. Další informace vám poskytne výrobce antivirového programu.

V případech, které společnost Microsoft analyzovala, obsahovaly zasažené počítače následující soubory a programy. Jejich přítomnost indikuje zasažení systému. Pokud tyto soubory a programy naleznete ve svém počítači a pokud si nejste vědomi jejich instalace, proveďte úplnou kontrolu počítače pomocí aktuálního antivirového programu.

Poznámka : Nejsou uvedeny cesty k souborům, protože mohou být různé.
  • Gg.bat: Gg.bat se pokouší připojit k jiným serverům jako "administrator", "admin" či "root". Program Gg.bat poté na serveru vyhledá programy Flashfxp a Ws_ftp a zkopíruje na server několik souborů (včetně Ocxdll.exe). Poté pomocí programu Psexec spouští na vzdáleném serveru příkazy.
  • Seced.bat: Seced.bat mění zásady zabezpečení.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
V dalších případech mohly být útočníky do počítače nainstalované normální programy, které ovšem mohou pomoci v útoku. Pokud tyto programy v počítači naleznete, mohou indikovat zasažení a měli byste pokračovat v dalším hledání.
  • Psexec
  • Ws_ftp
  • Flashfxp
Poslední sadu souborů, které mají souvislost s těmito útoky, tvoří běžné systémové soubory, které jsou v počítačích obvykle nainstalované. Jejich upravené verze byly ovšem nainstalované jako součást útoku. Většina antivirových programů s aktuálními virovými signaturami tyto upravené soubory rozpozná.
  • MDM.exe
  • Taskmngr.exe

Postup útoků

Analýzy naznačují, že útočníci pravděpodobně získali přístup do systémů pomocí slabých nebo prázdných hesel správců. Společnost Microsoft nemá žádný důkaz, že byt při útoku byly zneužity jakékoli neznámé chyby zabezpečení.

Prevence

Společnost Microsoft doporučuje, aby zákazníci své servery zabezpečili proti těmto a jiným útokům podle standardních pravidel zabezpečení, mezi která patří:
  • Zakázání slabých či prázdných hesel správců
  • Zakázání účtu Host
  • Pravidelná kontrola systémů pomocí aktuálního antivirového programu s nejnovějšími signaturami
  • Chránit interní servery včetně řadičů domén pomocí bran firewall
  • Instalace nejnovějších oprav zabezpečení
Další informace o preventivní konfiguraci serverů se systémem Microsoft Windows 2000 naleznete v dokumentu Security Operations Guide for Windows 2000 Server na následující webové stránce společnosti Microsoft:
http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/default.asp
Další informace o opravách a zabezpečení systému Windows 2000 Server naleznete na následující webové stránce společnosti Microsoft:
http://www.microsoft.com/technet/security/current.asp
Můžete také použít nástroj Microsoft Security Baseline Analyzer. Další informace o tomto nástroji naleznete na následující webové stránce společnosti Microsoft:
http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp

Rozpoznání

Až doposud byly zasaženy pouze počítače se systémem Microsoft Windows 2000 Server. Společnost Microsoft doporučuje, aby zákazníci zkontrolovali své servery se systémem Windows 2000 Server na výskyt souborů uvedených v části "Technické informace" v tomto článku. Protože některé z těchto souborů mohou být v počítači nainstalované oprávněně, měli by v případě jejich nalezení dále analyzovat jejich účel a použití.

Zotavení

Se žádostí o pomoc při zotavení z útoku se obraťte na službu technické podpory společnosti Microsoft. Další informace o možnostech kontaktování této služby naleznete na následující webové stránce společnosti Microsoft:
http://support.microsoft.com/

Vlastnosti

ID článku: 328691 - Poslední aktualizace: 11. října 2002 - Revize: 1.0
Klíčová slova: 
kbinfo kbenv kbsechack KB328691

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com