Detección y reparación de ataques relacionados con caballos de Troya MIRC

Seleccione idioma Seleccione idioma
Id. de artículo: 328691 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

ACTUALIZACIÓN: a fecha de 6 de septiembre de 2002, los informes de actividades malintencionadas que siguen el patrón específico descrito en este artículo se han reducido sustancialmente. El grupo de seguridad de los Servicios de soporte técnico de Microsoft ha modificado este artículo de Microsoft Knowledge Base a fin de reflejar esta información y perfeccionar las sugerencias de detección y los criterios de reparación.

Microsoft ha detectado un aumento de las actividades malintencionadas que intentan cargar códigos en servidores basados en Microsoft Windows 2000. Dicha actividad suele estar asociada con un programa que se ha identificado como Backdoor.IRC.Flood.

Tras analizar los equipos cuya seguridad se ha visto comprometida, Microsoft ha determinado que estos ataques no parecen aprovechar ninguna vulnerabilidad de seguridad relacionada con un nuevo producto y no parecen deberse a virus o gusanos (worm). En lugar de ello, los ataques tienen como objetivo aprovechar situaciones en las que no se han tomado las precauciones estándar detalladas en la sección "Prevención". La actividad parece estar asociada con una varios intentos individuales coordinados para poner en peligro la seguridad de los servidores basados en Windows 2000. Como consecuencia de ello, los intentos que han tenido éxito siguen un patrón característico. En este artículo se enumeran los archivos y programas que pueden proporcionar evidencias de un intento con éxito realizado según dicho patrón, de modo que puedan tomarse las medidas necesarias para:
  • Detectar los equipos cuya seguridad está en peligro.
  • Reparar y recuperar dichos equipos.

Más información

Impacto del ataque

Riesgo para el servidor

Síntomas

Los sistemas en peligro muestran uno o más de los síntomas siguientes:
  • El software antivirus puede indicar que ha detectado virus Troyanos, como Backdoor.IRC.Flood y sus variantes. Los productos antivirus actuales (que utilizan archivos de firma actualizados) detectan estos Troyanos.
  • Si el equipo en peligro es un controlador de dominio, la directiva de seguridad se modifica. Algunos de los posibles efectos de una modificación en una directiva de seguridad son:
    • Las cuentas de invitado deshabilitadas previamente vuelven a habilitarse.
    • Se crean nuevas cuentas sin autorizar, posiblemente con privilegios administrativos.
    • Los permisos de seguridad están modificados en los servidores o en Active Directory.
    • Los usuarios no pueden iniciar sesión en el dominio desde las estaciones de trabajo.
    • Los usuarios no pueden abrir los complementos de Active Directory en Microsoft Management Console (MMC).
    • Cuando un administrador intenta abrir el complemento Sitios y servicios de Active Directory, recibe el mensaje de error siguiente:
      No se puede encontrar la información de nombres debido a: El servidor no es operacional. Póngase en contacto con el administrador de su sistema para comprobar que su dominio está configurado correctamente y está conectado actualmente.
    • Los registros de errores muestran varios intentos fallidos de inicio de sesión de usuarios legítimos cuyo acceso se bloqueó.
    • Cuando intenta ejecutar DCDIAG en un controlador de dominio, puede recibir uno o varios de los mensajes de error siguientes:
      Realizando la instalación inicial: [sic1] error de enlace LDAP 31, uno de los dispositivos vinculados al sistema no funciona.
      Realizando la instalación inicial: [nombreDeServidor] error de enlace LDAP 1323, no se puede actualizar la contraseña. El valor proporcionado como contraseña actual es incorrecto. ***Error: El equipo no se pudo conectar al DC porque las credenciales eran incorrectas. Compruebe las credenciales o especifique las credenciales con /u:<dominio>\<usuario> & /p:[<contraseña>|*|""]
      Nota
      En este mensaje de error, nombreDeServidor es el nombre del controlador de dominio.
Además, cuando intenta hacer copia de seguridad del estado del sistema en el equipo infectado, pueden aparecer los mensajes de error siguientes en el registro de aplicación del equipo donde está realizando la copia de seguridad:
Id. del suceso: 8012
Origen: NTBackup
Descripción:
'Active Directory' devolvió 'Uno de los dispositivos vinculados al sistema no funciona.' de una llamada a 'BackupPrepare() ' datos adicionales '\\nombreDeEquipo'.
Nota
En este mensaje de error, nombreDeEquipo es el nombre del sistema básico de entrada y salida de red (NetBIOS) del equipo.
Id. del suceso: 1000
Origen: Userenv
Descripción:
Windows no puede determinar el nombre de usuario o de equipo. Valor devuelto (1326)

Detalles técnicos

Si el equipo ha sido atacado, el software antivirus puede detectar código malintencionado como Backdoor.IRC.Flood y sus variantes. Para obtener más información, póngase en contacto con el fabricante del antivirus.

Los casos analizados por Microsoft revelaron que los servidores atacados contenían los siguientes archivos y programas. La presencia de estos archivos indica que el sistema ha sido atacado. Si los encuentra en su equipo y han sido instalados sin su conocimiento, ejecute una detección de virus completa con un programa antivirus actualizado.

Nota
Las rutas de acceso a los archivos no se indican porque pueden cambiar.
  • Gg.bat: Gg.bat intenta conectarse a otros servidores como administrador, admin o root, busca los programas Flashfxp y Ws_ftp en el servidor, copia varios archivos (incluido Ocxdll.exe) al servidor y, a continuación, utiliza el programa Psexec para ejecutar los comandos en el servidor remoto.
  • Seced.bat: cambia la directiva de seguridad.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
En otros casos, los atacantes instalan programas legítimos como ayuda en su ataque. Si encuentra dichos programas en su sistema y no los ha instalado, debería investigar más, ya que esto podría indicar que se ha producido un ataque.
  • Psexec
  • Ws_ftp
  • Flashfxp
Por último, a estos ataques se asocia un conjunto de archivos de sistema legítimos que suelen instalarse de forma rutinaria en los sistemas; se trata de versiones con caballos de Troya que se instalan como parte del ataque. La mayoría de los productos antivirus, utilizados conjuntamente con las firmas de virus actuales, detectarán las versiones falsas de esos archivos en caso de que existan.
  • MDM.exe
  • Taskmngr.exe

Parámetros del ataque

Los análisis realizados hasta la fecha indican que los atacantes parecen haber obtenido acceso a los sistemas mediante contraseñas de administrador poco seguras o en blanco. Hasta el momento, Microsoft no dispone de evidencias que sugieran el uso de alguna vulnerabilidad de seguridad desconocida en los ataques.

Prevención

Microsoft recomienda a los clientes que protejan sus servidores contra este y otros ataques; para ello, asegúrese de seguir las prácticas estándar de seguridad recomendadas, como:
  • Eliminar las contraseñas de administrador en blanco o poco seguras.
  • Deshabilitar la cuenta de invitado.
  • Ejecutar software antivirus con definiciones de firma de virus actualizadas.
  • Utilizar servidores de seguridad para proteger los servidores internos, incluidos los controladores de dominio.
  • Instalar todas las nuevas revisiones de seguridad.
Para obtener ayuda acerca de las prácticas recomendadas a fin de configurar los servidores basados en Microsoft Windows 2000 de acuerdo con las normas, consulte la Guía de operaciones de seguridad para Windows 2000 Server. Para ver esta guía, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=f0b7b4ee-201a-4b40-a0d2-cdd9775aeff8
Para obtener más información acerca de cómo aplicar revisiones a Windows 2000 Server y mantenerlo seguro, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/current.aspx
También puede utilizar Microsoft Baseline Security Analyzer. Para obtener más información acerca esta herramienta, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx

Detección

Hasta la fecha, los únicos sistemas que han informado de estos ataques han sido sistemas que están ejecutando Microsoft Windows 2000 Server. Microsoft recomienda a los clientes que analicen sus entornos basados en Windows 2000 Server para determinar si están presentes los archivos enumerados en la sección "Detalles técnicos" de este artículo. Como es posible que algunos de esos archivos se hayan instalado de forma legítima, los clientes deben analizarlos a fin de determinar su uso y propósito.

Recuperación

Si necesita ayuda para recuperar su entorno, póngase en contacto con los Servicios de soporte técnico de Microsoft mediante el método que prefiera. Para obtener información acerca de los métodos para ponerse en contacto con los Servicios de soporte técnico de Microsoft, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/

Solución

Advertencia
La utilización incorrecta del Editor del Registro puede provocar problemas graves que hagan necesario volver a instalar el sistema operativo. Microsoft no garantiza que pueda solucionar los problemas derivados del uso incorrecto del Editor del Registro. Utilice el Editor del Registro bajo su responsabilidad.

Para evitar este problema, debe cambiar el nombre de determinados archivos y modificar el Registro. Para ello, siga estos pasos.

Nota
Los pasos siguientes son sólo una solución temporal. Estos pasos sólo quitan los efectos de la infección original. Estos pasos no quitan los virus adicionales que el equipo obtuviera una vez infectado por primera vez. Recomendamos que restaure el sistema operativo utilizando el medio de copia de seguridad comprobado a partir de un punto bueno conocido, antes de que se infectara el equipo. También puede formatear la unidad de disco duro, volver a instalar el sistema operativo y restaurar los datos que falten utilizando el medio de copia de seguridad comprobado a partir de un punto bueno conocido.
  1. En el equipo basado en Windows 2000, haga clic con el botón secundario del mouse (ratón) en la barra de tareas y, a continuación, haga clic en Administrador de tareas.
  2. En el Administrador de tareas, seleccione Taskmngr.exe y haga clic en Finalizar.

    Nota
    Asegúrese de que selecciona Taskmngr.exe y no Taskmgr.exe.
  3. Cierre el Administrador de tareas.
  4. Utilizando el Explorador de Microsoft Windows, busque la carpeta \WINNT\System32. Cambie el nombre de los archivos siguientes que están contenidos en la carpeta \WINNT\System32 escribiendo .bak al final del nombre de archivo.

    Nota
    Puede que algunos de estos archivos no estén en la carpeta \WINNT\System32.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.hlp
    • Xvpll.hlp
    • Dll32.hlp
    • Httpsearch.ini
    • Mdm.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • Gg.bat
    • Ocxdll.exe
    Nota
    Para cambiar el nombre de estos archivos, siga estos pasos:
    1. En la carpeta \WINNT\System32, haga clic con el botón secundario del mouse en cualquiera de los archivos de la lista, haga clic en Cambiar nombre, escriba .bak al final del nombre de archivo y presione Entrar.

      Por ejemplo, puede cambiar el nombre de Nt32.ini a Nt32.ini.bak.
    2. Repita el paso para cada archivo de esta lista.
  5. Haga clic en Inicio y en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.
  6. En el Editor del Registro, expanda la siguiente subclave del Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. Haga clic en el valor Rundll32 que hace referencia a Taskmngr.exe bajo la subclave del Registro siguiente y, a continuación, haga clic en Eliminar:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. Si tiene un controlador de dominio de Windows 2000 infectado con el virus caballo de Troya MIRC, utilice el Explorador de Windows para buscar el archivo GmpTpl.inf en la carpeta siguiente del controlador de dominio de Windows 2000:
    \WINNT\SYSVOL\sysvol\nombreDeDominio\Policies\{GUID}\MACHINE\Microsoft\Windows NT\SecEdit
    Nota
    En este nombre de carpeta, nombreDeDominio es el nombre del dominio de Windows 2000.
  9. Compare el archivo GmpTpl.inf con una copia buena conocida del archivo GmpTpl.inf. Puede restaurar una copia buena conocida del archivo GmpTpl.inf utilizando el medio de copia de seguridad comprobado a partir de un punto bueno conocido o utilizando otro controlador de dominio de Windows 2000.

    Nota
    El virus caballo de Troya MIRC puede cambiar o agregar el valor SeNetworkLogonRight contenido en el archivo GmpTpl.inf.

Después de finalizar estos pasos, recomendamos que utilice un software antivirus con las definiciones de virus más recientes para detectar y quitar el virus caballo de Troya MIRC. Después, formatee y vuelva a instalar el servidor lo antes posible. Recomendamos realizar esta acción porque se ha puesto en peligro el servidor.

Propiedades

Id. de artículo: 328691 - Última revisión: viernes, 24 de marzo de 2006 - Versión: 4.1
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbenv kbinfo kbsechack KB328691

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com