MIRC Trojan yang berhubungan dengan serangan Deteksi dan perbaikan

UPDATE: Sebagai dari 6 September 2002, laporan aktivitas berbahaya yang mengikuti pola tertentu yang dijelaskan dalam artikel ini telah berkurang secara signifikan. Tim keamanan Microsoft produk dukungan layanan telah diubah artikel Basis Pengetahuan Microsoft untuk mencerminkan informasi ini dan untuk memperbaiki saran untuk Deteksi dan perbaikan kriteria.

Microsoft telah menyelidiki peningkatan dalam aktifitas yang mencoba untuk memuat kode pada Berbasis Microsoft Windows 2000 Server. Kegiatan ini biasanya terkait dengan program yang telah diidentifikasi sebagai Backdoor.IRC.Flood.

Oleh menganalisis komputer yang telah dikompromikan, Microsoft telah ditentukan yang serangan ini tidak muncul untuk mengeksploitasi baru produk yang berhubungan dengan keamanan kerentanan dan tidak muncul untuk menjadi virus atau worm-seperti di alam. Sebaliknya, serangan berusaha untuk mengambil keuntungan dari situasi di mana standar tindakan pencegahan tidak diambil sebagai rinci di bagian "Pencegahan". Kegiatan tampaknya dikaitkan dengan serangkaian terkoordinasi individu upaya untuk kompromi server berbasis Windows 2000. Sebagai hasilnya, berhasil kompromi meninggalkan pola khas. Artikel ini berisi daftar file dan program yang akan memberikan bukti kompromi sukses menurut pola ini sehingga Anda dapat mengambil tindakan yang tepat untuk:

• Mendeteksi komputer dikompromikan.
• Perbaikan dan memulihkan komputer dikompromikan.

Dampak dari serangan

Kompromi server

Gejala

Sistem dikompromikan menunjukkan satu atau lebih gejala berikut:

• Perangkat lunak antivirus dapat menunjukkan bahwa telah mendeteksi Trojans, seperti Backdoor.IRC.Flood dan varian. Saat ini antivirus produk (yang menggunakan berkas tanda tangan terbaru) mendeteksi Trojans.
• Jika komputer dikompromikan kontroler domain, kebijakan keamanan diubah. Beberapa efek yang mungkin diubah kebijakan keamanan adalah:
  • Account tamu yang sebelumnya dinonaktifkan diaktifkan kembali.
  • Account tidak sah yang baru, mungkin dengan administrasi hak istimewa, dibuat.
  • Izin keamanan diubah pada server atau di Active Directory.
  • Pengguna tidak dapat logon ke domain dari workstation.
  • Pengguna tidak dapat membuka snap-in direktori aktif dalam Konsol manajemen Microsoft (MMC).
  • Ketika administrator mencoba untuk membuka aktif Direktori situs dan layanan snap-in, Anda menerima pesan galat berikut:
    Penamaan informasi tidak dapat ditemukan karena: server ini tidak operasional. Hubungi administrator sistem untuk memverifikasi bahwa Anda domain dikonfigurasi dengan benar dan sedang online.
  • Error log menampilkan beberapa usaha logon yang gagal dari pengguna yang sah yang terkunci di luar.
  • Ketika Anda mencoba untuk menjalankan DCDIAG pada kontroler domain, Anda mungkin menerima salah satu atau lebih pesan galat berikut:
    Melakukan konfigurasi awal: [sic1] LDAP mengikat gagal dengan kesalahan 31, perangkat yang melekat pada sistem tidak berfungsi.
    Melakukan konfigurasi awal: [ServerName] Mengikat LDAP gagal dengan kesalahan 1323, tidak dapat memperbarui sandi. Nilai disediakan sebagai password yang salah. *** Error: Mesin tidak bisa melampirkan ke DC karena kepercayaan itu tidak benar. Periksa kredensial atau gunakan kredensial dengan /u:<domain>\<user> & /p:[<password>|*|""]</password></user></domain>
    Catatan Dalam pesan kesalahan ini, ServerName adalah nama kontroler domain.

Juga, ketika Anda mencoba untuk membuat cadangan status sistem di yang terinfeksi komputer, pesan galat berikut dapat muncul di log aplikasi pada komputer di mana Anda melakukan backup:Catatan Dalam pesan kesalahan ini, ComputerName adalah nama sistem input/output dasar (NetBIOS) jaringan komputer.

Rincian teknis

Jika komputer telah dikompromikan, mungkin perangkat lunak antivirus mendeteksi kode berbahaya seperti Backdoor.IRC.Flood dan varian. Untuk lebih informasi, hubungi vendor antivirus Anda.

Dalam kasus-kasus yang Microsoft telah dianalisis, server dikompromikan ditemukan memiliki berkas berikut dan program. Kehadiran file ini menunjukkan bahwa sistem telah dikompromikan. Jika file atau program ini ditemukan pada Anda komputer, dan jika mereka tidak dipasang oleh Anda atau dengan pengetahuan Anda, menjalankan lengkap virus scan dengan program pemindaian virus up-to-date.

Catatan Jalan ke berkas yang tidak terdaftar karena mereka dapat bervariasi.

• GG.bat: Gg.bat mencoba tersambung ke server lain administrator, admin atau akar, mencari Flashfxp dan program-program Ws_ftp pada salinan server, beberapa file (termasuk Ocxdll.exe) ke server, dan kemudian menggunakan Psexec program untuk mengeksekusi perintah pada remote server.
• Seced.bat: Seced.bat perubahan keamanan kebijakan.
• Nt32.ini
• Ocxdll.exe
• Gates.txt
• Task32.exe

Dalam kasus lain, program yang sah telah diinstal oleh penyerang untuk membantu dalam kompromi. Jika program ini ditemukan pada Anda sistem, dan jika Anda tidak menginstal mereka, itu mungkin menunjukkan kompromi, dan Anda harus menyelidiki lebih lanjut.

• Psexec
• WS FTP
• Flashfxp

Akhir set file yang berkaitan dengan serangan ini adalah sepasang sah sistem berkas yang secara rutin diinstal pada sistem, tetapi trojanized versi yang diinstal sebagai bagian dari serangan. Sebagian besar Vendor Antivirus produk, ketika mereka sedang digunakan dalam hubungannya dengan saat ini tanda tangan virus, akan mendeteksi versi trojanized file ini jika mereka hadir.

• MDM.exe
• Taskmngr.exe

Serangan vektor

Analisis untuk tanggal menunjukkan bahwa para penyerang tampaknya memiliki memperoleh masuk ke sistem dengan menggunakan password yang lemah atau kosong administrator. Microsoft telah tidak ada bukti yang menunjukkan bahwa keamanan sebelum ini tidak dikenal kerentanan telah digunakan dalam serangan.

Pencegahan

Microsoft menganjurkan bahwa pelanggan melindungi server mereka terhadap ini dan serangan lainnya dengan memastikan bahwa mereka mengikuti standar keamanan terbaik praktek, seperti:

• Menghilangkan kosong atau lemah administrator password.
• Menonaktifkan account tamu.
• Menjalankan perangkat lunak antivirus yang saat ini dengan up-to-date virus tanda tangan definisi.
• Menggunakan firewall untuk melindungi server internal, termasuk kontroler domain.
• Tetap up to date pada semua patch keamanan.

Untuk panduan praktik terbaik untuk prescriptively mengkonfigurasi Berbasis Microsoft Windows 2000 Server, lihat Panduan operasi keamanan untuk Windows 2000 Server. Untuk melihat panduan ini, kunjungi Web site Microsoft berikut: Untuk informasi lebih lanjut tentang bagaimana untuk menjaga Windows 2000 Server patch dan aman, kunjungi Web site Microsoft berikut: Atau, Anda dapat menggunakan Microsoft keamanan dasar Analisa. Untuk informasi lebih lanjut tentang Microsoft Baseline Security Analyzer, kunjungi Web site Microsoft berikut:

Deteksi

Sampai saat ini, sistem hanya melaporkan telah dipengaruhi oleh ini serangan telah sistem yang menjalankan Microsoft Windows 2000 Server. Microsoft menganjurkan bahwa pelanggan memindai mereka Windows 2000 Server berbasis lingkungan untuk menentukan jika file yang tercantum dalam "teknis Rincian"bagian dari artikel ini ada. Karena beberapa file mungkin telah sah diinstal, pelanggan harus menyelidiki mereka untuk menentukan mereka penggunaan dan niat.

Pemulihan

Untuk bantuan dengan pemulihan, hubungi dukungan produk Microsoft Layanan dengan menggunakan metode pilihan Anda. Untuk informasi lebih lanjut tentang metode untuk hubungi layanan dukungan produk Microsoft, kunjungi Website Microsoft berikut situs:

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

Untuk mengatasi masalah ini, Anda harus mengubah nama khusus file dan kemudian memodifikasi registri. Untuk melakukannya, ikuti langkah-langkah.

Catatan Langkah-langkah berikut adalah hanya solusi sementara. Langkah hanya menghapus efek infeksi asli. Langkah-langkah ini tidak menghapus virus tambahan komputer yang diperoleh setelah komputer itu pertama terinfeksi. Kami menyarankan Anda untuk memulihkan sistem operasi dengan menggunakan diverifikasi media cadangan dari titik baik dikenal, sebelum komputer yang terinfeksi. Kamu bisa juga memformat hard disk drive, instal ulang sistem operasi, dan kemudian memulihkan data yang hilang menggunakan diverifikasi media cadangan dari yang dikenal baik titik.

1. Pada komputer berbasis Windows 2000, klik kanan taskbar, dan kemudian klik Manajer Tugas.
2. Dalam tugas manajer, pilih Taskmngr.exe, dan kemudian klik Akhir.
   
   Catatan Pastikan bahwa Anda pilih Taskmngr.exe dan tidakTaskmgr.exe
3. Tutup Pengelola Tugas.
4. Dengan menggunakan Microsoft Windows Explorer, Cari \WINNT\System32 folder. Ubah nama berkas berikut yang terdapat di dalam \WINNT\System32 folder dengan mengetik .bak pada akhir nama file.
   
   Catatan Beberapa file ini tidak boleh terkandung dalam \WINNT\System32 folder.
   • Nt32.ini
   • Nt16.ini
   • Dll32nt.HLP
   • Xvpll.HLP
   • Dll32.HLP
   • Httpsearch.ini
   • MDM.scr
   • Gates.txt
   • Taskmngr.exe
   • Secedit.sdb
   • Seced.bat
   • Ocx.dll
   • Dll16.ini
   • GG.bat
   • Ocxdll.exe
   Catatan Untuk mengubah nama berkas ini, ikuti langkah berikut:
   1. Dalam \WINNT\System32 folder, klik-kanan salah file dalam daftar, klik Ubah nama, jenis .bak pada akhir nama file, dan kemudian tekan Masukkan.
      
      Sebagai contoh, Anda dapat mengubah Nt32.ini untuk Nt32.ini.bak.
   2. Ulangi langkah untuk setiap file yang ada di ini daftar.
5. Klik Mulai, klik Menjalankan, jenis regedit, lalu klikOke.
6. Pada Peninjau Suntingan Registri, Cari subkunci registri berikut:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
7. Klik nilai Rundll32 yang referensi Taskmngr.exe di bawah subkunci registri berikut, dan kemudian klik Hapus:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
8. Jika Anda memiliki pengontrol domain Windows 2000 yang telah terinfeksi dengan virus MIRC Trojan, menggunakan Windows Explorer untuk mencari GmpTpl.inf file yang terletak di dalam folder berikut pada Windows 2000 kontroler domain:
   \WINNT\SYSVOL\sysvol\DomainName\Policies\ {GUID} \MACHINE\Microsoft\Windows NT\SecEdit
   Catatan Dalam nama folder ini, DomainName adalah nama domain Windows 2000.
9. Membandingkan file GmpTpl.inf yang dikenal baik salinan GmpTpl.inf file. Anda dapat mengembalikan dikenal baik salinan berkas GmpTpl.inf oleh menggunakan diverifikasi media cadangan dari titik yang dikenal baik atau dengan menggunakan jendela lain 2000 kontroler domain.
   
   Catatan MIRC Trojan virus dapat mengubah atau menambahkan SeNetworkLogonRight nilai yang terdapat dalam berkas GmpTpl.inf.

Setelah Anda menyelesaikan langkah ini, kami sarankan Anda gunakan perangkat lunak antivirus yang memiliki definisi virus terbaru untuk mendeteksi dan menghapus MIRC Trojan virus. Selanjutnya, format dan kemudian instal ulang server segera setelah itu nyaman untuk Anda. Kami merekomendasikan tindakan ini karena server telah dikompromikan.