Erkennung und Reparatur bei Angriffen von "Trojanischen Pferden"

Artikel-ID: 328691
Dieser Artikel wurde zuvor veröffentlicht unter D328691
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
328691
(http://support.microsoft.com/kb/328691/EN-US/ )
MIRC Trojan-Related Attack Detection and Repair
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

UPDATE: Seit dem 6. September 2002 sind Berichte zu Angriffen nach dem in diesem Artikel beschriebenen Muster erheblich seltener geworden. Das Sicherheitsteam beim Microsoft Software Service hat diesen Microsoft Knowledge Base-Artikel geändert, um diese neuen Informationen zu berücksichtigen und die Vorschläge für Erkennungs- und Reparaturkriterien entsprechend zu verfeinern.

Microsoft hat vermehrt Aktivitäten festgestellt, bei denen versucht wird, nicht autorisierte Codes auf Microsoft Windows 2000-Servern zu laden. In der Regel stehen diese Aktivitäten in Zusammenhang mit einem Programm, das als "Backdoor.IRC.Flood" identifiziert werden konnte.

Durch Analysieren der Computer, die Opfer derartiger Angriffe waren, hat Microsoft feststellen können, dass diese nicht auf Sicherheitsmängel im Zusammenhang mit neuen Produkten zielen und dass es sich nicht um Viren oder Computerwürmer handelt. Stattdessen versuchen diese Angriffe scheinbar Situationen auszunutzen, in denen nicht die Standardsicherheitsvorkehrungen getroffen wurden, die im nachstehenden Abschnitt "Vorbeugende Maßnahmen" beschrieben werden. Diese Aktivitäten scheinen zu einer ganzen Serie einzelner Versuche zu gehören, Angriffe auf Windows 2000-Server zu starten. Bei erfolgreichen Angriffen bleibt ein ganz bestimmtes Muster zurück. In diesem Artikel sind Dateien und Programme aufgelistet, die dem erwähnten Muster entsprechen und Hinweise auf einen erfolgreichen Angriff liefern können, damit Sie die geeigneten Maßnahmen ergreifen können. Zum Beispiel:
  • Befallene Computer entdecken.
  • Befallene Systeme reparieren und wiederherstellen.
Zum Anfang | Ihr Feedback an uns

Weitere Informationen

Auswirkungen des Angriffs

Beeinträchtigung der Serversicherheit

Symptome

Auf befallenen Systemen sind eines oder mehrere der folgenden Symptome zu beobachten:
  • Antivirenprogramme können melden, dass sie "Trojanische Pferde" entdeckt haben, wie zum Beispiel "Backdoor.IRC.Flood" und dessen Varianten. Die meisten aktuellen Produkte (solche mit auf dem neuesten Stand befindlichen Signaturdateien) der Hersteller von Antivirenprogrammen werden diese "Trojanischen Pferde" erkennen.
  • Wenn es sich bei dem befallenen System um einen Domänencontroller handelt, wird die Sicherheitsrichtlinie geändert. Einige mögliche Auswirkungen von Änderungen der Sicherheitsrichtlinie sind:
    • Zuvor deaktivierte Gastkonten sind wieder aktiviert.
    • Es gibt neue, nicht autorisierte Konten (eventuell mit den Berechtigungen eines Administrators).
    • Sicherheitsberechtigungen wurden auf Servern oder in Active Directory geändert.
    • Benutzer können sich von Arbeitsstationen aus nicht bei der Domäne anmelden.
    • Benutzer können Active Directory-Snap-Ins in der Microsoft Management Console (MMC) nicht mehr öffnen.
    • In den Fehlerprotokollen werden mehrere gescheiterte Anmeldeversuche von eigentlich dazu berechtigten Benutzern angezeigt.

Technische Details

Bei befallenen Computern entdecken Antivirenprogramme eventuell in böswilliger Absicht verfassten Code, wie z.B. "Backdoor.IRC.Flood" und dessen Varianten. Für weitere Informationen wenden Sie sich bitte an den Hersteller Ihrer Antivirensoftware.

In den von Microsoft analysierten Fällen gab es auf den befallenen Servern die nachstehend aufgeführten Dateien und Programme. Das Vorhandensein dieser Dateien ist ein Hinweis darauf, dass ein System Ziel eines Angriffs war. Wenn Sie diese Dateien oder Programme auf Ihrem Computer finden und diese nicht von Ihnen selbst oder mit Ihrem Wissen installiert wurden, führen Sie bitte einen umfassenden Virenscan mit einer aktuellen Antivirensoftware durch.

Anmerkung: Die Pfade zu diesen Dateien sind nicht aufgeführt, weil sie von Fall zu Fall variieren können.
  • Gg.bat: "Gg.bat" versucht, als "administrator", "admin" oder "root" eine Verbindung zu anderen Servern herzustellen. Dann sucht "Gg.bat" auf dem Server nach den Programmen "Flashfxp" und "Ws_ftp" und kopiert diverse Dateien (u.a. "Ocxdll.exe") auf den Server. Anschließend verwendet "Gg.bat" das Programm "Psexec", um auf dem Remoteserver bestimmte Befehle auszuführen.
  • Seced.bat: "Seced.bat" ändert die Sicherheitsrichtlinie.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
In anderen Fällen können durch den Angreifer durchaus legitime Programme installiert worden sein, die dabei helfen sollen, die Sicherheitsvorkehrungen zu umgehen. Sollten Sie solche Programme finden und diese nicht selbst installiert haben, ist das ein Hinweis auf einen möglichen Befall Ihres Systems, den Sie näher untersuchen sollten.
  • Psexec
  • Ws_ftp
  • Flashfxp
Schließlich werden im Rahmen der hier beschriebenen Angriffe manipulierte Versionen von Systemdateien installiert, die routinemäßig auf nahezu allen System installiert sind. Die meisten Antivirenprogramme erkennen diese "trojanisierten" Versionen, wenn man sie in Verbindung mit aktuellen Virensignaturen einsetzt.
  • MDM.exe
  • Taskmngr.exe

Angriffswege

Die bisher durchgeführten Analysen deuten darauf, dass sich die Angreifer über schwache oder leere Administratorkennwörter Zugang zu den Systemen verschaffen konnten. Microsoft liegen keine Hinweise darauf vor, dass bei diesen Angriffen bisher unbekannte Sicherheitsmängel ausgenutzt wurden.

Vorbeugende Maßnahmen

Microsoft empfiehlt seinen Kunden, ihre Server gegen diese und andere Angriffe zu schützen, indem sie sicherstellen, dass die Standard-Sicherheitsvorkehrungen eingehalten werden. Zum Beispiel:
  • Leere oder schwache Administratorkennwörter sind zu vermeiden.
  • Das Gastkonto sollte deaktiviert werden.
  • Es sollten aktuelle Antivirenprogramme mit den neuesten Virussignaturen eingesetzt werden.
  • Zum Schutz interner Server und Domänencontroller sind Firewalls zu verwenden.
  • Alle verfügbaren Sicherheitsupdates sollten unverzüglich angewendet werden.
Die bestmöglichen Verfahrensweisen für die Konfiguration von Servern auf Microsoft Windows 2000-Basis entnehmen Sie bitte dem "Security Operations Guide" (Sicherheitsleitfaden) für Windows 2000 Server. Sie finden diesen Leitfaden auf der folgenden Website von Microsoft:
http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/default.asp
(http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/default.asp)
Weitere Informationen dazu, wie Sie Windows 2000 Server in Bezug auf die Sicherheit auf dem neuesten Stand halten, finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/technet/security/current.asp
(http://www.microsoft.com/technet/security/current.asp)
Alternativ können Sie auch den Microsoft Security Baseline Analyzer (Sicherheitsanalyse-Tool) einsetzen. Weitere Informationen zum Microsoft Security Baseline Analyzer finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp
(http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp)

Erkennung

Bis zum jetzigen Zeitpunkt sind den vorliegenden Berichten zu Folge nur Systeme von den Angriffen betroffen, auf denen Microsoft Windows 2000 Server ausgeführt wird. Microsoft empfiehlt seinen Kunden, ihre Windows 2000 Server-Umgebungen sorgfältig nach den Dateien zu durchsuchen, die im vorstehenden Abschnitt "Technische Details" aufgelistet sind. Da manche dieser Dateien eventuell durchaus rechtmäßig installiert wurden, sollten die Kunden diese Dateien auf ihre Verwendung und die Absicht untersuchen, mit der sie installiert worden sind.

Wiederherstellung

Bei der Wiederherstellung Ihrer Systeme ist Ihnen der Microsoft Software Service gerne behilflich. Weitere Informationen zu Möglichkeiten der Kontaktaufnahme mit dem Microsoft Software Service finden Sie auf der folgenden Microsoft-Website:
http://support.microsoft.com/
(http://support.microsoft.com/)
Zum Anfang | Ihr Feedback an uns

Eigenschaften

Artikel-ID: 328691 - Geändert am: Montag, 17. Februar 2003 - Version: 1.0
Keywords: 
kbinfo kbenv kbsechack KB328691
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Zum Anfang | Ihr Feedback an uns

Ihr Feedback an uns

 
Zum AnfangZum Anfang