A MIRC Trojan vírushoz kapcsolódó támadások észlelése és a javítás

A cikk fordítása A cikk fordítása
Cikk azonosítója: 328691 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

Összefoglaló

FRISSÍTÉS: 2002. szeptember 6-tól a cikkben leírt jellegzetességeket mutató rosszindulatú tevékenységről szóló jelentések száma jelentősen csökkent. A Microsoft terméktámogatási szolgálatának biztonsági csoportja úgy módosította jelen Microsoft Tudásbázis cikket, hogy tükrözze a fenti információt és pontosabb javaslatokat adjon a felismerés és a javítás feltételeire.

A Microsoft vizsgálatot folytatott olyan rosszindulatú tevékenység növekedésével kapcsolatban, amely során kódok Microsoft Windows 2000 alapú kiszolgálókon történő betöltésére történik kísérlet. Az effajta tevékenység jellemzően a Backdoor.IRC.Flood néven azonosított programhoz kötődik.

Az áldozatul esett számítógépek elemzésével a Microsoft megállapította, hogy ezen támadások nem törekszenek a termékkel kapcsolatos új biztonsági sebezhetőségek kihasználására és nem tűnnek vírus- vagy féregtermészetűnek. A támadások ehelyett olyan helyzeteket kísérelnek meg kihasználni, ahol a „Megelőzés” szakaszban részletezett szokásos elővigyázatossági intézkedések nem történtek meg. Úgy tűnik, a tevékenység a Windows 2000 alapú kiszolgálók teljesítményének lerontására tett egyéni kísérletek összefogott sorozatával hozható kapcsolatba. Ennek eredményeképpen a sikeres támadások jellegzetes mintát mutatnak. A cikk a mintának megfelelő sikeres kísérlet bizonyítékául szolgáló fájlokat és programokat sorolja fel, így elvégezheti:
  • Az áldozatul esett számítógépek felismerését
  • Az áldozatul esett számítógépek javítását és visszaállítását.

További információ

A támadás hatása

A kiszolgáló teljesítményének lerontása

Tünetek

Az áldozatul esett számítógépek a következő tüneteket valamelyikét mutatják, akár többet is:
  • A vírusvédelmi szoftver trójai programok észlelését jelzi, például a Backdoor.IRC.Flood vírust és változatait. A jelenlegi vírusvédelmi termékek (melyek friss adatbázisokat használnak) felismerik ezen trójai programokat.
  • Ha az áldozatul esett számítógép tartományvezérlő, a biztonsági házirend megváltozott. A módosított biztonsági házirend néhány lehetséges hatása:
    • A korábban letiltott vendégfiókok ismét engedélyezettek.
    • Új, illetéktelen fiókok jöttek létre, akár rendszergazdai jogosultságokkal.
    • A kiszolgálókon vagy az Active Directory címtárban megváltoztak a biztonsági jogosultságok.
    • A felhasználók nem képesek a munkaállomásokról a tartományba belépni.
    • A felhasználók nem tudják megnyitni az Active Directory beépülő modulokat a Microsoft Management Console (MMC) programban.
    • Ha egy rendszergazda az Active Directory - helyek és szolgáltatások beépülő modul megnyitását kísérli meg, a következő hibaüzenet jelenik meg:
      Az elnevezési adatok a következő okból nem elérhetők: A kiszolgáló nem működőképes. A tartomány beállításainak és elérhetőségének ellenőrzéséhez kérje a rendszergazda segítségét.
    • A hibanaplók több sikertelen bejelentkezési kísérletet tartalmaznak jogosult felhasználóktól, akik kizárásra kerültek.
    • Ha a DCDIAG programot kísérli meg futtatni a tartományvezérlőn, a következő hibaüzenetek egyike vagy akár több is megjelenhet:
      Kezdeti telepítés végrehajtása: [sic1] LDAP kötés a következő hiba miatt sikertelen: 31. Egy rendszerhez csatlakoztatott eszköz nem működik.
      Kezdeti telepítés végrehajtása: [Kiszolgálónév] LDAP kötés a következő hiba miatt sikertelen: 1323. A jelszót nem lehet frissíteni. A jelenlegi jelszóként megadott érték nem megfelelő. ***Hiba: A számítógép nem tudott csatlakozni a DC-hez, mert a hitelesítő adatok helytelenek. Ellenőrizze hitelesítő adatait vagy adja meg azokat a következő formában: /u:<tartomány>\<felhasználó> & /p:[<jelszó>|*|""]
      Megjegyzés: A hibaüzenetben szereplő Kiszolgálónév a tartományvezérlő neve.
Emellett, amikor a fertőzött számítógép rendszerállapotának biztonsági mentését kísérli meg, a következő hibaüzenetek jelenhetnek meg a mentéshez használt számítógép Alkalmazás naplójában:
Eseményazonosító: 8012
Forrás: NTBackup
Leírás:
A(z) 'Active Directory' a hívásból ('BackupPrepare()') a következő értéket adta vissza: 'Egy rendszerhez csatlakoztatott eszköz nem működik'. További adatok: '\\Számítógépnév'.
Megjegyzés: A hibaüzenetben szereplő Számítógépnév a számítógép NetBIOS (network basic input/output system) neve.
Eseményazonosító: 1000
Forrás: Userenv
Leírás:
A Windows nem tudja megállapítani a felhasználó vagy a számítógép nevét. Visszaadott érték: (1326).

Műszaki részletek

Ha a számítógép áldozatul esett a támadásnak, a vírusvédelmi szoftverek a Backdoor.IRC.Flood vírust és annak változatait észlelhetik. További információért forduljon a vírusvédelem szállítójához.

A Microsoft által elemzett esetekben az áldozatul esett kiszolgálókon a következő fájlok és programok voltak megtalálhatók. Ezen fájlok megléte a rendszer sikeres megtámadását jelenti. Ha az említett fájlok és programok megtalálhatók a számítógépen, és nem saját maga telepítette, illetve nem a beleegyezésével telepítették, futtasson le egy teljes vírusellenőrzést egy friss vírusellenőrző programmal.

Megjegyzés: A fájlok elérési útjai azért nincsenek feltüntetve, mert változhatnak.
  • Gg.bat: más kiszolgálókhoz próbál meg administrator, admin vagy root nevekkel kapcsolódni, a kiszolgálókon a Flashfxp és a Ws_ftp programot keresi, számos fájlt (például: Ocxdll.exe) másol a kiszolgálóra, majd a Psexec program használatával parancsokat futtat a távoli kiszolgálón.
  • Seced.bat: a biztonsági házirendet módosítja.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
Más esetekben a támadók egyébként megbízható programokat telepítettek a teljesítményrontás elősegítésére. Ha ezen programokat megtalálja rendszerén, és nem saját maga telepítette őket, az a sikeres támadás jele lehet, és további vizsgálat ajánlott.
  • Psexec
  • Ws_ftp
  • Flashfxp
A támadásokhoz kötődő fájlok utolsó csoportja két valódi rendszerfájl, amely a szokásos telepítés része, trójai változatuk azonban a támadás részeként kerül telepítésre. A legtöbb vírusvédelmi szállító termékei, az aktuális vírusadatbázissal, felismerik ezen fájlok trójai változatát, ha jelen vannak.
  • MDM.exe
  • Taskmngr.exe

Támadási pontok

Az eddig elvégzett elemzés szerint a támadók valószínűleg könnyen kitalálható vagy üres rendszergazda jelszavak használatával jutottak be a rendszerekbe. A Microsoft nem rendelkezik bizonyítékkal arra nézve, hogy bármely, ez idáig még ismeretlen biztonsági sebezhetőséget használtak volna ki a támadások.

Megelőzés

A Microsoft azt tanácsolja, hogy ügyfelei az ilyen és ehhez hasonló támadások ellen úgy védekezzenek, hogy mindenképpen követik az alábbi szokásos, jól bevált biztonsági módszereket:
  • Könnyen kitalálható vagy üres rendszergazda jelszavak kiküszöbölése.
  • A vendégfiók letiltása.
  • Aktuális vírusvédelmi szoftver futtatása friss vírusadatbázissal.
  • Tűzfalak használata a belső kiszolgálók, többek között a tartományvezérlők védelmére.
  • A legfrissebb biztonsági javítások figyelemmel kísérése.
A bevált módszerekkel kapcsolatos útmutatásról és a Microsoft Windows 2000 alapú kiszolgálók előírásokat betartó konfigurálásáról a Security Operations Guide for Windows 2000 Server című dokumentumból tájékozódhat. Az útmutató a Microsoft következő webhelyén érhető el:
http://www.microsoft.com/downloads/details.aspx?FamilyID=f0b7b4ee-201a-4b40-a0d2-cdd9775aeff8
A Windows 2000 Server friss és biztonságos állapotban tartásáról a Microsoft következő webhelyén tájékozódhat:
http://www.microsoft.com/technet/security/current.aspx
Emellett a Microsoft Security Baseline Analyzer is használható. A Microsoft Security Baseline Analyzer eszközről a következő Microsoft webhelyen tájékozódhat:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx

Felismerés

A jelenleg rendelkezésre álló információk alapján a támadás által érintett rendszerek a Microsoft Windows 2000 Server alapú rendszerek. A Microsoft a Windows 2000 Server alapú környezetek ellenőrzését ajánlja ügyfeleinek annak eldöntésére, hogy a „Műszaki részletek” szakaszban felsorolt fájlok jelen vannak-e. Mivel egyes fájlok jogosultan is telepítésre kerülhettek, ajánlatos az ügyfelek számára azok vizsgálata felhasználásuk és céljuk meghatározása érdekében.

Helyreállítás

A helyreállítással kapcsolatos segítségnyújtásért forduljon bármilyen úton a Microsoft terméktámogatási szolgálatához. A Microsoft terméktámogatási szolgálatával a Microsoft következő webhelyén tud kapcsolatba lépni:
http://support.microsoft.com/

Kerülő megoldás

Figyelmeztetés: A Rendszerleíróadatbázis-szerkesztő helytelen használata komoly problémákat okozhat, amelyek akár az operációs rendszer újratelepítését is szükségessé tehetik. A Microsoft nem garantálja a Rendszerleíróadatbázis-szerkesztő nem megfelelő használata miatt fellépő problémák megoldhatóságát. A Rendszerleíróadatbázis-szerkesztőt csak saját felelősségére használhatja.

A probléma kerülő megoldásaként egyes fájlok átnevezése és a regisztrációs adatbázis módosítása szükséges. Ennek lépései az alábbiak.

Megjegyzés: A következő lépések csak ideiglenes megoldást nyújtanak. Ezek a lépések csak az eredeti fertőzés hatásait szüntetik meg. A módszer nem távolít el más vírusokat, melyek az első fertőzés után kerültek a számítógépre. Ajánlott az operációs rendszer egy ismert, jó állapotról készült (a fertőzés előtti) ellenőrzött biztonsági mentés használatával történő visszaállítása. Megoldást nyújt ezenkívül a merevlemez leformázása, az operációs rendszer újratelepítése és a hiányzó adatok ismert, jó állapotról készült, ellenőrzött biztonsági mentés használatával történő visszaállítása is.
  1. A Windows 2000 alapú számítógépen kattintson a jobb gombbal a tálcán, majd kattintson a Feladatkezelő parancsra.
  2. A Feladatkezelőben jelölje ki a Taskmngr.exe folyamatot, majd kattintson a Leállítás gombra.

    Megjegyzés: Győződjön meg arról, hogy a Taskmngr.exe fájlt és nem a Taskmgr.exe fájlt jelöli ki.
  3. Zárja be a Feladatkezelőt.
  4. A Microsoft Windows Intéző segítségével keresse meg a \WINNT\System32 mappát. Nevezze át a következő fájlokat a \WINNT\System32 mappában a .bak kiterjesztés hozzáadásával a fájlnév végére.

    Megjegyzés: Egyes felsorolt fájlok nem feltétlenül a \WINNT\System32 mappában találhatók.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.hlp
    • Xvpll.hlp
    • Dll32.hlp
    • Httpsearch.ini
    • Mdm.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • Gg.bat
    • Ocxdll.exe
    Megjegyzés: Ezen fájlok átnevezésének lépései:
    1. A \WINNT\System32 mappában kattintson a jobb gombbal a listában felsorolt fájlok bármelyikére, majd kattintson az Átnevezés parancsra, írja be a .bak kiterjesztést a fájlnév végére, majd nyomja le az Enter billentyűt.

      Az Nt32.ini fájlt például Nt32.ini.bak névvel lássa el.
    2. Minden felsorolt fájlra ismételje meg ezt a lépést.
  5. Kattintson a Start menüre, majd kattintson a Futtatás parancsra, írja be a regedit parancsot, majd kattintson az OK gombra.
  6. A Rendszerleíróadatbázis-szerkesztőben keresse meg az alábbi rendszerleíró alkulcsot:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. Kattintson a következő rendszerleíró alkulcsban található Taskmngr.exe elemre hivatkozó Rundll32 értékre, majd kattintson a Törlés nyomógombra:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. Ha Windows 2000 tartományvezérlője fertőződött meg a MIRC Trojan vírussal, a Windows Intéző használatával keresse meg a a Windows 2000 tartományvezérlő következő mappájában található GmpTpl.inf fájlt:
    \WINNT\SYSVOL\sysvol\Tartománynév\Policies\{GUID}\MACHINE\Microsoft\Windows NT\SecEdit
    Megjegyzés: A mappanévben a Tartománynév a Windows 2000 tartomány neve.
  9. Hasonlítsa össze a GmpTpl.inf fájlt egy biztosan jó másolatával. A GmpTpl.inf fájl biztosan jó másolata egy biztosan jó állapot ellenőrzött biztonsági mentéséből vagy egy másik Windows 2000 tartományvezérlő segítségével állítható helyre.

    Megjegyzés: A MIRC Trojan vírus megváltoztathatja vagy létrehozhatja a GmpTpl.inf fájlban található SeNetworkLogonRight értéket.

A lépések elvégzése után ajánlott a legfrissebb vírusadatbázissal rendelkező vírusvédelmi szoftver használata a MIRC Trojan vírus megkeresésére és eltávolítására. Ezután az arra alkalmas legközelebbi időpontban formázza meg és telepítse újra a kiszolgálót. A műveletet azért ajánlott, mert a kiszolgáló áldozatul esett a támadásnak.

Tulajdonságok

Cikk azonosítója: 328691 - Utolsó ellenőrzés: 2006. március 13. - Verziószám: 4.1
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Kulcsszavak: 
kbinfo kbenv kbsechack KB328691
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com