Εντοπισμός και επιδιόρθωση επίθεσης που σχετίζεται με τον ιό MIRC Trojan

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 328691 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

ΕΝΗΜΕΡΩΜΕΝΗ ΕΚΔΟΣΗ: Από τις 6 Σεπτεμβρίου του 2002, οι αναφορές κακόβουλης δραστηριότητας που ακολουθούν το συγκεκριμένο σχέδιο το οποίο περιγράφεται σε αυτό το άρθρο έχουν ελαττωθεί σημαντικά. Η ομάδα ασφαλείας των Υπηρεσιών Τεχνικής Υποστήριξης της Microsoft (Microsoft Product Support Services) έχει τροποποιήσει αυτό το άρθρο της Γνωσιακής βάσης της Microsoft, ώστε να αντικατοπτρίζει αυτές τις πληροφορίες και για να περιορίζει τις συστάσεις για κριτήρια ανίχνευσης και επιδιόρθωσης.

Η Microsoft έχει ερευνήσει μια αύξηση της κακόβουλης δραστηριότητας κατά την οποία γίνεται προσπάθεια φόρτωσης κώδικα σε διακομιστές που χρησιμοποιούν Microsoft Windows 2000. Αυτή η δραστηριότητα σχετίζεται συνήθως με ένα πρόγραμμα που έχει προσδιοριστεί ως Backdoor.IRC.Flood.

Μέσω της ανάλυσης των υπολογιστών που έχουν δεχτεί επίθεση, η Microsoft έχει διαπιστώσει ότι αυτές οι επιθέσεις δεν φαίνεται να εκμεταλλεύονται νέα ζητήματα ευπάθειας ασφαλείας προϊόντων και δεν φαίνεται να έχουν σχέση με ιούς ή worm. Αντίθετα, οι επιθέσεις επιδιώκουν να εκμεταλλευθούν τις καταστάσεις όπου δεν έχουν ληφθεί οι τυπικές προφυλάξεις, όπως αναφέρεται στην ενότητα "Αποτροπή". Η δραστηριότητα φαίνεται να συνδέεται με μια συντονισμένη σειρά μεμονωμένων προσπαθειών επίθεσης σε διακομιστές με Windows 2000. Κατά συνέπεια, οι επιτυχείς παραβιάσεις αφήνουν ένα καθορισμένο ίχνος. Αυτό το άρθρο παραθέτει τα αρχεία και τα προγράμματα που παρέχουν στοιχεία για μια επιτυχημένη παραβίαση σύμφωνα με αυτό το ίχνος, έτσι ώστε να μπορέσετε να λάβετε τα κατάλληλα μέτρα για τα εξής:
  • Για να ανιχνεύσετε υπολογιστές που έχουν δεχτεί επίθεση.
  • Για να επιδιορθώσετε και να επαναφέρετε υπολογιστές που έχουν δεχτεί επίθεση.

Περισσότερες πληροφορίες

Επίπτωση της επίθεσης

Παραβίαση του διακομιστή

Συμπτώματα

Τα συστήματα που έχουν παραβιαστεί εκδηλώνουν ένα ή περισσότερα από τα παρακάτω συμπτώματα:
  • Το λογισμικό εντοπισμού ιών ενδέχεται να δείχνει ότι έχει εντοπίσει ιούς τύπου Trojan, όπως τον Backdoor.IRC.Flood και τις παραλλαγές του. Τα τρέχοντα προϊόντα εντοπισμού ιών (τα οποία χρησιμοποιούν ενημερωμένα αρχεία υπογραφής) εντοπίζουν αυτούς τους ιούς τύπου Trojan.
  • Στην περίπτωση που ο υπολογιστής που παραβιάστηκε είναι ελεγκτής τομέα, η πολιτική ασφαλείας τροποποιείται. Ορισμένα από τα πιθανά αποτελέσματα μιας τροποποιημένης πολιτικής ασφαλείας είναι τα εξής:
    • Λογαριασμοί Guest που ήταν προηγουμένως απενεργοποιημένοι ενεργοποιούνται ξανά.
    • Δημιουργούνται νέοι, μη εξουσιοδοτημένοι λογαριασμοί, πιθανόν με δικαιώματα διαχείρισης.
    • Αλλάζουν τα δικαιώματα ασφαλείας σε διακομιστές ή στην υπηρεσία καταλόγου Active Directory.
    • Οι χρήστες δεν είναι δυνατόν να συνδεθούν με τον τομέα από τους σταθμούς εργασίας.
    • Οι χρήστες δεν μπορούν να ανοίξουν τα συμπληρωματικά προγράμματα της υπηρεσίας καταλόγου Active Directory στην Κονσόλα διαχείρισης της Microsoft (Microsoft Management Console - MMC).
    • Όταν ένας διαχειριστής προσπαθήσει να ανοίξει το συμπληρωματικό πρόγραμμα "Τοποθεσίες και υπηρεσίες της υπηρεσίας καταλόγου Active Directory" (Active Directory Sites and Services), εμφανίζεται το ακόλουθο μήνυμα λάθους:
      Naming Information cannot be located because: The server is not operational. Contact your system administrator to verify that your domain is properly configured and is currently online.
    • Τα αρχεία καταγραφής εμφανίζουν πολλές προσπάθειες σύνδεσης από νόμιμους χρήστες, οι οποίοι ήταν αποκλεισμένοι.
    • Όταν επιχειρείτε να εκτελέσετε το DCDIAG σε έναν ελεγκτή τομέα, ενδέχεται να εμφανιστεί ένα από τα ακόλουθα μηνύματα λάθους:
      Performing initial setup: [sic1] LDAP bind failed with error 31, a device attached to the system is not functioning.
      Performing initial setup: [ServerName] LDAP bind failed with error 1323, unable to update the password. The value provided as the current password is incorrect. ***Error: The machine could not attach to the DC because the credentials were incorrect. Check your credentials or specify credentials with /u:<domain>\<user> & /p:[<password>|*|""]
      Σημείωση Σε αυτό το μήνυμα λάθους, ServerName είναι το όνομα του ελεγκτή τομέα.
Επίσης, κατά την προσπάθειά σας να δημιουργήσετε αντίγραφο ασφαλείας της κατάστασης συστήματος στον υπολογιστή που έχει προσβληθεί, ενδέχεται να εμφανιστούν τα ακόλουθα μηνύματα λάθους στο αρχείο καταγραφής εφαρμογής του υπολογιστή όπου εκτελείτε τη δημιουργία αντιγράφων ασφαλείας:
Αναγνωριστικό συμβάντος: 8012
Προέλευση: NTBackup
Περιγραφή: Η 'Active Directory' επέστρεψε 'A device attached to the system is not functioning.' από μια κλήση σε 'BackupPrepare()' πρόσθετα δεδομένα '\\Όνομα_υπολογιστή'.

(Event ID: 8012
Source: NTBackup
Description: The 'Active Directory' returned 'A device attached to the system is not functioning.' from a call to 'BackupPrepare()' additional data '\\ComputerName'.)
Σημείωση Σε αυτό το μήνυμα λάθους, Όνομα_υπολογιστή είναι το όνομα του βασικού συστήματος εισόδου/εξόδου του δικτύου (NetBIOS) του υπολογιστή.
Αναγνωριστικό συμβάντος: 1000
Προέλευση: Userenv
Περιγραφή: Τα Windows δεν στάθηκε δυνατό να προσδιορίσουν το όνομα χρήστη ή υπολογιστή. Επιστρεφόμενη τιμή (1326).

(Event ID: 1000
Source: Userenv
Description: Windows cannot determine user or computer name. Return value (1326))

Τεχνικές λεπτομέρειες

Στην περίπτωση που ο υπολογιστής έχει παραβιαστεί, το λογισμικό εντοπισμού ιών ενδέχεται να εντοπίσει επιβλαβή κώδικα, όπως το Backdoor.IRC.Flood και τις παραλλαγές του. Για περισσότερες πληροφορίες, επικοινωνήστε με τον κατασκευαστή του προγράμματος εντοπισμού ιών που χρησιμοποιείτε.

Στις περιπτώσεις που έχει αναλύσει η Microsoft, οι διακομιστές που έχουν παραβιαστεί βρέθηκε να έχουν τα ακόλουθα αρχεία και προγράμματα. Η παρουσία αυτών των αρχείων υποδηλώνει ότι το σύστημα έχει παραβιαστεί. Στην περίπτωση που αυτά τα αρχεία ή τα προγράμματα βρίσκονται στον υπολογιστή σας και δεν έχουν εγκατασταθεί από εσάς ή με την έγκρισή σας, εκτελέστε μια πλήρη ανίχνευση για ιούς χρησιμοποιώντας ένα πρόγραμμα ανίχνευσης ιών.

Σημείωση Οι διαδρομές των αρχείων δεν παρατίθενται επειδή ενδέχεται να διαφέρουν.
  • Gg.bat: Το Gg.bat επιχειρεί να συνδεθεί με άλλους διακομιστές ως διαχειριστής, admin ή ρίζα, αναζητά το στοιχείο Flashfxp και τα προγράμματα Ws_ftp του διακομιστή, αντιγράφει διάφορα αρχεία (συμπεριλαμβανομένου του Ocxdll.exe) στο διακομιστή και, στη συνέχεια, χρησιμοποιεί το πρόγραμμα Psexec για την εκτέλεση εντολών στον απομακρυσμένο διακομιστή.
  • Seced.bat: Το Seced.bat αλλάζει την πολιτική ασφαλείας.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
Σε άλλες περιπτώσεις, έχουν εγκατασταθεί νόμιμα προγράμματα από τους εισβολείς για να βοηθήσουν στην παραβίαση. Στην περίπτωση που αυτά τα προγράμματα βρίσκονται στα συστήματά σας και δεν τα έχετε εγκαταστήσει εσείς, ενδέχεται να έχει γίνει παραβίαση και πρέπει να εξετάσετε περαιτέρω αυτό το ζήτημα.
  • Psexec
  • Ws_ftp
  • Flashfxp
Ένα τελευταίο σύνολο αρχείων που συνδέονται με αυτές τις επιθέσεις είναι ένα ζεύγος νόμιμων αρχείων συστήματος, που εγκαθίστανται συνήθως σε συστήματα, αλλά στην πραγματικότητα είναι οι εκδόσεις trojan αυτών των αρχείων που εγκαθίστανται ως μέρος της επίθεσης. Τα περισσότερα προϊόντα των προμηθευτών προγραμμάτων εντοπισμού ιών, όταν χρησιμοποιούνται σε συνδυασμό με τις τρέχουσες υπογραφές ιών, θα εντοπίσουν τις εκδόσεις trojan αυτών των αρχείων, εάν υπάρχουν.
  • MDM.exe
  • Taskmngr.exe

Φορείς της επίθεσης

Η μέχρι σήμερα ανάλυση δείχνει ότι οι εισβολείς φαίνεται να έχουν εισέλθει στα συστήματα χρησιμοποιώντας ασθενείς ή κενούς κωδικούς πρόσβασης διαχειριστών. Η Microsoft δεν έχει κανένα στοιχείο ότι κάποια άγνωστα μέχρι τώρα θέματα ευπάθειας ασφαλείας έχουν χρησιμοποιηθεί στις επιθέσεις.

Αποτροπή

Η Microsoft συνιστά στους πελάτες της να προστατεύουν τους διακομιστές τους από αυτήν και από άλλες επιθέσεις, ακολουθώντας τις τυπικές βέλτιστες πρακτικές ασφαλείας, όπως:
  • Με την εξάλειψη κενών ή ασθενών κωδικών πρόσβασης διαχειριστή.
  • Με την απενεργοποίηση του λογαριασμού Guest.
  • Με την εκτέλεση σύγχρονου λογισμικού εντοπισμού ιών με ενημερωμένους ορισμούς υπογραφής ιών.
  • Με τη χρήση προγραμμάτων τείχους προστασίας για την προστασία των εσωτερικών διακομιστών, συμπεριλαμβανομένων των ελεγκτών τομέων.
  • Με την εφαρμογή όλων των ενημερωμένων εκδόσεων κώδικα ασφαλείας.
Για οδηγίες σχετικά με τις βέλτιστες πρακτικές για εντεταλμένη ρύθμιση παραμέτρων των διακομιστών που χρησιμοποιούν Microsoft Windows 2000, ανατρέξτε στον οδηγό Security Operations Guide for Windows 2000 Server. Για να δείτε αυτόν τον οδηγό, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://www.microsoft.com/downloads/details.aspx?FamilyID=f0b7b4ee-201a-4b40-a0d2-cdd9775aeff8
Για περισσότερες πληροφορίες σχετικά με τον τρόπο που μπορείτε να διατηρήσετε τον Windows 2000 Server ενημερωμένο και ασφαλή, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://www.microsoft.com/technet/security/current.aspx
Εναλλακτικά, μπορείτε να χρησιμοποιήσετε το εργαλείο Microsoft Security Baseline Analyzer. Για περισσότερες πληροφορίες σχετικά με το εργαλείο Microsoft Security Baseline Analyzer, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
http://www.microsoft.com/technet/security/tools/mbsahome.mspx

Εντοπισμός

Μέχρι σήμερα, τα μοναδικά συστήματα που έχει αναφερθεί ότι επηρεάστηκαν από αυτήν την επίθεση είναι τα συστήματα που εκτελούν τον Microsoft Windows 2000 Server. Η Microsoft συνιστά στους πελάτες να εκτελούν ανίχνευση στα περιβάλλοντα με Windows 2000 Server που χρησιμοποιούν, για να εξακριβώσουν αν υπάρχουν τα αρχεία που παρατίθενται στην ενότητα "Τεχνικές λεπτομέρειες" αυτού του άρθρου. Επειδή ορισμένα από τα αρχεία ενδέχεται να έχουν εγκατασταθεί νόμιμα, οι πελάτες πρέπει να τα εξετάσουν για να καθορίσουν τη χρήση και το σκοπό τους.

Αποκατάσταση

Για βοήθεια σχετικά με την αποκατάσταση, επικοινωνήστε με τις Υπηρεσίες Τεχνικής Υποστήριξης της Microsoft (Microsoft Product Support Services) χρησιμοποιώντας τη μέθοδο που προτιμάτε. Για περισσότερες πληροφορίες σχετικά με τις μεθόδους επικοινωνίας με τις Υπηρεσίες Τεχνικής Υποστήριξης της Microsoft (Microsoft Product Support Services), επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

Εναλλακτικός τρόπος αντιμετώπισης

Προειδοποίηση Η εσφαλμένη χρήση του Επεξεργαστή Μητρώου (Registry Editor) ενδέχεται να προκαλέσει σοβαρά ζητήματα, τα οποία ίσως απαιτήσουν την επανεγκατάσταση του λειτουργικού σας συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι τα θέματα που προκύπτουν από την εσφαλμένη χρήση του Επεξεργαστή Μητρώου (Registry Editor) είναι δυνατό να επιλυθούν. Χρησιμοποιήστε τον Επεξεργαστή Μητρώου (Registry Editor) με δική σας ευθύνη.

Για να αντιμετωπίσετε αυτό το ζήτημα, πρέπει να μετονομάσετε συγκεκριμένα αρχεία και, στη συνέχεια, να τροποποιήσετε το μητρώο. Για να το κάνετε αυτό, ακολουθήστε τα παρακάτω βήματα.

Σημείωση Τα ακόλουθα βήματα αποτελούν μόνο μια προσωρινή λύση. Αυτά τα βήματα καταργούν μόνο τις επιπτώσεις της αρχικής προσβολής. Τα βήματα αυτά δεν καταργούν οποιουσδήποτε πρόσθετους ιούς που έχουν εγκατασταθεί στον υπολογιστή μετά την πρώτη προσβολή. Συνιστούμε να επαναφέρετε το λειτουργικό σύστημα, χρησιμοποιώντας ελεγμένα μέσα αντιγράφων ασφαλείας από ένα γνωστό ασφαλές σημείο, πριν από την προσβολή του υπολογιστή. Μπορείτε επίσης να διαμορφώσετε τον σκληρό δίσκο, να επανεγκαταστήσετε το λειτουργικό σύστημα και, στη συνέχεια, να επαναφέρετε τα δεδομένα που λείπουν, χρησιμοποιώντας ελεγμένα μέσα αντιγράφων ασφαλείας από ένα γνωστό ασφαλές σημείο.
  1. Σε έναν υπολογιστή με Windows 2000, κάντε δεξιό κλικ στη γραμμή εργασιών και, στη συνέχεια, κάντε κλικ στο κουμπί Διαχείριση Εργασιών (Task Manager).
  2. Στη Διαχείριση Εργασιών (Task Manager), επιλέξτε το στοιχείο Taskmngr.exe και, στη συνέχεια, κάντε κλικ στο κουμπί Επεξεργασία (End).

    Σημείωση Βεβαιωθείτε ότι επιλέξατε το Taskmngr.exe και όχι το Taskmgr.exe
  3. Τερματίστε τη Διαχείριση Εργασιών (Task Manager).
  4. Χρησιμοποιώντας την Εξερεύνηση των Microsoft Windows (Microsoft Windows Explorer), εντοπίστε το φάκελο \WINNT\System32. Μετονομάστε τα ακόλουθα αρχεία που περιέχονται στο φάκελο \WINNT\System32, πληκτρολογώντας .bak στο τέλος του ονόματος αρχείου.

    Σημείωση Ορισμένα από αυτά τα αρχεία ενδέχεται να μην περιέχονται στο φάκελο \WINNT\System32.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.hlp
    • Xvpll.hlp
    • Dll32.hlp
    • Httpsearch.ini
    • Mdm.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • Gg.bat
    • Ocxdll.exe
    Σημείωση Για να μετονομάσετε αυτά τα αρχεία, ακολουθήστε τα εξής βήματα:
    • Στο φάκελο \WINNT\System32, κάντε δεξιό κλικ σε οποιοδήποτε από τα αρχεία της λίστας, κάντε κλικ στην επιλογή Μετονομασία (Rename), πληκτρολογήστε .bak στο τέλος του ονόματος αρχείου και, στη συνέχεια, πιέστε το πλήκτρο Enter.

      Για παράδειγμα, μπορείτε να μετονομάσετε το αρχείο Nt32.ini σε Nt32.ini.bak.
    • Επαναλάβετε το πρώτο βήμα για κάθε αρχείο αυτής της λίστας.
  5. Κάντε κλικ στο μενού Έναρξη (Start), κατόπιν στην επιλογή Εκτέλεση (Run), πληκτρολογήστε regedit και, τέλος, κάντε κλικ στο κουμπί OK.
  6. Στον Επεξεργαστή Μητρώου (Registry Editor), εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. Κάντε δεξιό κλικ στην τιμή Rundll32 που παραπέμπει στο Taskmngr.exe στο ακόλουθο δευτερεύον κλειδί μητρώου και, στη συνέχεια, κάντε κλικ στην εντολή Διαγραφή (Delete):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. Εάν έχετε ελεγκτή τομέα με Windows 2000 που έχει προσβληθεί με τον ιό MIRC Trojan, χρησιμοποιήστε την Εξερεύνηση των Windows (Windows Explorer) για να εντοπίσετε το αρχείο GmpTpl.inf, το οποίο βρίσκεται στον ακόλουθο φάκελο του ελεγκτή τομέα που χρησιμοποιεί Windows 2000:
    \WINNT\SYSVOL\sysvol\Όνομα_τομέα\Policies\{GUID}\MACHINE\Microsoft\Windows NT\SecEdit
    Σημείωση Σε αυτό το όνομα φακέλου, το Όνομα_τομέα είναι το όνομα του τομέα των Windows 2000.
  9. Συγκρίνετε το αρχείο GmpTpl.inf με ένα γνωστό σωστό αντίγραφο του αρχείου GmpTpl.inf. Μπορείτε να επαναφέρετε ένα γνωστό σωστό αντίγραφο του αρχείου GmpTpl.inf, χρησιμοποιώντας ελεγμένα μέσα αντιγράφων ασφαλείας από ένα γνωστό σωστό σημείο ή χρησιμοποιώντας έναν άλλον ελεγκτή τομέα με Windows 2000.

    Σημείωση Ο ιός MIRC Trojan μπορεί να αλλάξει ή να προσθέσει την τιμή SeNetworkLogonRight που περιέχεται στο αρχείο GmpTpl.inf.

Αφού ολοκληρώσετε αυτά τα βήματα, συνιστούμε να χρησιμοποιήσετε το λογισμικό εντοπισμού ιών που διαθέτει τους τελευταίους ορισμούς ιών για να εντοπίσετε και να καταργήσετε τους ιούς MIRC Trojan. Στη συνέχεια, διαμορφώσετε και επανεγκαταστήστε το διακομιστή, μόλις μπορέσετε. Αυτή η ενέργεια συνιστάται επειδή ο διακομιστής έχει παραβιαστεί.

Ιδιότητες

Αναγν. άρθρου: 328691 - Τελευταία αναθεώρηση: Τετάρτη, 8 Μαρτίου 2006 - Αναθεώρηση: 4.1
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Λέξεις-κλειδιά: 
kbenv kbinfo kbsechack KB328691

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com