Détection et réparation d'une attaque associée à un cheval de Troie MIRC

Traductions disponibles Traductions disponibles
Numéro d'article: 328691 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F328691
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Agrandir tout | Réduire tout

Sommaire

Résumé

MISE À JOUR : depuis le 6 septembre 2002, il a été signalé une diminution significative d'actes malveillants s'appuyant sur un modèle particulier qui est développé dans cet article. L'équipe de sécurité du Support technique Microsoft a modifié cet article de la Base de connaissance Microsoft pour tenir compte de cette information et affiner les suggestions portant sur les critères de détection et de réparation.

Microsoft a enquêté sur un accroissement d'actes malveillants cherchant à charger un code sur des serveurs Microsoft Windows 2000. Cette activité est typiquement associée à un programme qui a été identifié comme étant Backdoor.IRC.Flood.

En procédant à une analyse des ordinateurs qui ont été compromis, Microsoft a déterminé que ces attaques ne semblent pas exploiter des vulnérabilités de sécurité relatives au produit ni être de nature virale ou de type ver. Au lieu de cela, ces attaques cherchent à profiter de situations dans lesquelles des précautions standard n'ont pas été appliquées (vous en trouverez le détail dans la section "Prévention" du présent article). Ces actes semblent être associés à une série coordonnée de tentatives individuelles cherchant à compromettre des serveurs Windows 2000. En conséquence, des compromis ayant abouti laissent un modèle caractéristique. Cet article répertorie les fichiers et programmes qui devraient apporter la preuve d'un compromis réussi selon ce modèle afin que vous puissiez mener les actions qui conviennent :
  • Détection des ordinateurs compromis.
  • Réparation et récupération des ordinateurs compromis.

Plus d'informations

Impact de l'attaque

Atteinte du serveur

Symptômes

Les systèmes compromis présentent l'un des problèmes suivants ou plus :
  • Un logiciel antivirus peut indiquer qu'un virus cheval de Troie a été détecté, comme Backdoor.IRC.Flood et ses variantes. Les produits antivirus actuels (qui utilisent des fichiers de signature à jour) détectent ces chevaux de Troie.
  • Si l'ordinateur compromis est un contrôleur de domaine, la stratégie de sécurité est modifiée. Quelques-uns des effets possibles de la modification d'une stratégie de sécurité sont les suivants :
    • Des comptes Invités qui étaient précédemment désactivés sont réactivés.
    • De nouveaux comptes non autorisés sont créés, avec probablement des privilèges administratifs.
    • Des autorisations de sécurité sont modifiées sur des serveurs et dans Active Directory.
    • Des utilisateurs sont dans l'impossibilité d'ouvrir une session sur le domaine à partir des stations de travail.
    • Des utilisateurs ne peuvent pas ouvrir des composants logiciels enfichables de Active Directory dans la console MMC (Microsoft Management Console).
    • Lorsqu'un administrateur essaie d'ouvrir le composant logiciel enfichable Sites et services Active Directory, le message d'erreur suivant s'affiche :
      Les informations de nom ne peuvent pas être trouvées car : Le serveur n'est pas opérationnel. Contactez votre administrateur système pour vérifier que le domaine est correctement configuré et qu'il est actuellement connecté.
    • Les journaux d'erreurs affichent plusieurs échecs de tentatives d'ouverture de session par des utilisateurs légitimes qui ont été verrouillés.
    • Lorsque vous essayez d'exécuter DCDIAG sur un contrôleur de domaine, l'un des messages d'erreur suivants peut s'afficher :
      Configuration initiale : [sic1] Échec de la liaison LDAP avec l'erreur 31, un périphérique attaché au système ne fonctionne pas correctement.
      Configuration initiale : [Nom_serveur] Échec de la liaison LDAP avec l'erreur 1323, impossible de mettre à jour le mot de passe. La valeur fournie en tant que mot de passe actuel est incorrecte. ***Erreur : L'ordinateur n'a pas pu se connecter au contrôleur de domaine parce que les informations d'identification étaient incorrectes. Vérifiez vos informations d'identification ou spécifiez des informations d'identification avec /u:<domaine>\<utilisateur> & /p:[<mot de passe>|*|""]
      Remarque Dans ce message d'erreur, Nom_serveur correspond au contrôleur de domaine.
En outre, lorsque vous essayez de sauvegarder l'état du système sur l'ordinateur infecté, les messages d'erreur suivants peuvent s'afficher dans le journal d'applications sur l'ordinateur où vous exécutez la sauvegarde :
ID de l'événement : 8012
Source : NTBackup
Description :
Le 'Active Directory' a renvoyé 'Un périphérique connecté au système ne fonctionne pas.' d'après un appel aux données additionnelles 'BackupPrepare()' de '\\Nom_ordinateur '.
Remarque Dans ce message d'erreur, Nom_ordinateur est le nom du système NetBIOS de l'ordinateur.
ID de l'événement : 1000
Source : Userenv
Description :
Windows ne peut pas déterminer le nom de l'utilisateur ou de l'ordinateur. Valeur renvoyée (1326)

Détails techniques

Si l'ordinateur a été compromis, un logiciel antivirus peut détecter un code malveillant comme Backdoor.IRC.Flood et ses variantes. Contactez le fournisseur de votre antivirus pour plus d'informations.

Dans les cas analysés par Microsoft, il a été constaté que les serveurs compromis hébergeaient les fichiers et programmes suivants. La présence de ces fichiers indique que le système a été compromis. Si ces fichiers ou programmes se trouvent dans votre ordinateur sans avoir été installés par vous ou avec votre accord, lancez une analyse des virus avec un programme antivirus à jour.

Remarque Les chemins d'accès de ces fichiers ne sont pas indiqués car ils peuvent varier.
  • Gg.bat : Gg.bat essaie de se connecter aux autres serveurs, tels qu'Administrateur, Admin ou Racine, recherche les programmes Flashfxp et Ws_ftp sur le serveur, copie plusieurs fichiers (y compris Ocxdll.exe) sur le serveur, puis réutilise le programme Psexec pour exécuter les commandes sur le serveur distant.
  • Seced.bat : Seced.bat modifie la stratégie de sécurité.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
Dans d'autres cas, des programmes légitimes ont été installés par les utilisateurs malveillants pour faciliter le compromis. Si ces programmes se trouvent sur votre système, et si vous ne les avez pas installés, cela peut signaler un compromis et vous devez approfondir vos investigations.
  • Psexec
  • Ws_ftp
  • Flashfxp
Enfin, il existe un ensemble de fichiers qui sont associés à ces attaques et qui se caractérisent par des fichiers système légitimes installés par routine sur des systèmes, mais il s'agit en fait de versions infectées par un cheval de Troie qui sont installées lors de l'attaque. Lorsque vous utilisez les signatures de virus actuelles avec la plupart des produits antivirus du marché, ces derniers détectent les éventuelles versions de fichier infectées par des chevaux de Troie.
  • MDM.exe
  • Taskmngr.exe

Vecteurs d'attaque

Les analyses menées jusqu'à ce jour font apparaître que les utilisateurs malveillants arrivent à entrer dans les systèmes en profitant de l'absence de mot de passe d'administrateur ou de la présence d'un mot de passe facilement détectable. Microsoft ne détient aucune preuve permettant de suggérer que des vulnérabilités en matière de sécurité encore inconnues jusqu'ici ont été utilisées lors des attaques.

Prévention

Microsoft recommande aux clients de protéger leurs serveurs contre les diverses attaques en s'assurant de l'application des consignes standard de sécurité, comme :
  • la suppression des mots de passe d'administrateur vides ou facilement détectables ;
  • La désactivation du compte Invité ;
  • l'exécution du logiciel antivirus actuel avec des définitions de signatures à jour ;
  • l'utilisation de pare-feu pour protéger des serveurs internes, y compris des contrôleurs de domaine ;
  • le maintien à jour des informations relatives à tous les correctifs logiciels en matière de sécurité.
Pour plus d'informations sur ce qu'il convient de faire pour configurer de façon prescriptible des serveurs Microsoft Windows 2000, reportez-vous au guide des opérations de sécurité de Windows 2000 Server. Pour afficher ce guide, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
http://www.microsoft.com/downloads/details.aspx?FamilyID=f0b7b4ee-201a-4b40-a0d2-cdd9775aeff8
Pour plus d'informations sur la procédure à suivre pour maintenir Windows 2000 Server en toute sécurité après avoir appliqué un correctif, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/technet/security/current.aspx
Vous pouvez également utiliser Microsoft Security Baseline Analyzer. Pour plus d'informations sur Microsoft Security Baseline Analyzer, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/securite/outils/mbsa.aspx

Détection

À ce jour, les seuls systèmes ayant fait l'objet d'un rapport suite à cette agression sont des systèmes qui exécutent Microsoft Windows 2000 Server. Microsoft recommande aux clients d'analyser leurs environnements Windows 2000 Server pour déterminer si les fichiers répertoriés dans la section "Détails techniques" de cet article sont présents. Puisque certains fichiers peuvent avoir été installés légitimement, il convient de les examiner plus précisément afin d'en déterminer l'utilisation et leur dessein.

Récupération

Pour plus d'informations sur la récupération, contactez les Services de support technique de Microsoft par les moyens à votre convenance. Pour plus d'informations sur les moyens pour contacter les Services de support technique de Microsoft, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://support.microsoft.com/?ln=FR

Contournement

Avertissement Toute utilisation incorrecte de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour contourner ce problème, vous devez renommer des fichiers spécifiques puis modifier le Registre. Pour cela, procédez comme suit.

Remarque Les étapes suivantes ne constituent qu'une solution temporaire. Elles suppriment seulement les effets de l'infection originale. Ces étapes ne suppriment pas tous les autres virus que l'ordinateur a reçus après sa première infection. Nous vous recommandons de restaurer le système d'exploitation en utilisant le support de sauvegarde vérifié d'un bon point connu, avant que l'ordinateur ait été infecté. Vous pouvez également formater le disque dur, réinstallez le système d'exploitation, puis restaurez les données manquantes en utilisant le support de sauvegarde vérifié d'un bon point connu.
  1. Sur l'ordinateur Windows 2000, cliquez avec le bouton droit sur la barre des tâches, puis cliquez sur Gestionnaire des tâches.
  2. Dans le Gestionnaire des tâches, sélectionnez Taskmngr.exe, puis cliquez sur Fin.

    Remarque Assurez-vous que vous sélectionnez Taskmngr.exe et pas Taskmgr.exe
  3. Fermez le Gestionnaire des tâches.
  4. Recherchez le dossier \WINNT\System32 dans l'Explorateur Windows. Renommez les fichiers suivants contenus dans le dossier \WINNT\System32 en tapant .bak à la fin du nom de fichier.

    Remarque Certains de ces fichiers peuvent ne pas se trouver dans le dossier \WINNT\System32.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.hlp
    • Xvpll.hlp
    • Dll32.hlp
    • Httpsearch.ini
    • Mdm.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • Gg.bat
    • Ocxdll.exe
    Remarque Pour renommer ces fichiers, procédez comme suit :
    1. Dans le dossier \WINNT\System32, cliquez avec le bouton droit sur chacun des fichiers de la liste, cliquez sur Renommer, tapez .bak à la fin du nom du fichier, puis appuyez sur Entrée.

      Par exemple, vous pouvez renommer Nt32.ini en Nt32.ini.bak.
    2. Répétez cette étape pour chaque fichier .ini de cette liste.
  5. Cliquez sur Démarrer, sur Exécuter, tapez regedit, puis cliquez sur OK.
  6. Dans l'Éditeur du Registre, recherchez la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. Cliquez sur la valeur Rundll32 se rapportant à Taskmngr.exe sous la sous-clé de Registre suivante, puis cliquez sur Supprimer :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. Si un contrôleur de domaine Windows 2000 a été infecté avec le cheval de Troie MIRC, utilisez l'Explorateur Windows pour localiser le fichier GmpTpl.inf se trouvant dans le dossier suivant sur le contrôleur de domaine Windows 2000 :
    \WINNT\SYSVOL\sysvol\Nom_domaine\Policies\{GUID}\MACHINE\Microsoft\Windows NT\SecEdit
    Remarque Dans ce nom de dossier, Nom_domaine désigne de domaine Windows 2000.
  9. Comparez le fichier GmpTpl.inf avec une bonne copie connue du fichier GmpTpl.inf. Vous pouvez restaurer une copie correcte connue du fichier GmpTpl.inf en utilisant le support de sauvegarde vérifié d'un bon point connu ou en utilisant un autre contrôleur de domaine Windows 2000.

    Remarque Le cheval de Troie MIRC peut modifier ou ajouter la valeur SeNetworkLogonRight contenue dans le fichier GmpTpl.inf.

Après avoir terminé ces étapes, nous vous recommandons d'utiliser un antivirus disposant des définitions du virus les plus récentes pour détecter et supprimer le cheval de Troie MIRC. Ensuite, formatez et réinstallez le serveur dès que vous le pourrez. Nous recommandons cette mesure parce que le serveur a été compromis.

Propriétés

Numéro d'article: 328691 - Dernière mise à jour: mardi 21 décembre 2004 - Version: 4.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professionel
Mots-clés : 
kbenv kbinfo kbsechack KB328691
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com