Deteksi serangan Trojan yang berhubungan dengan MIRC dan perbaikan

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 328691 - Melihat produk di mana artikel ini berlaku.
Pemberitahuan
Artikel ini berlaku untuk Windows 2000. Dukungan untuk Windows 2000 berakhir pada 13 Juli 2010. The Pusat Solusi Windows 2000 akhir dukungan adalah titik awal untuk perencanaan strategi migrasi dari Windows 2000. Untuk informasi lebih lanjut lihat Kebijakan Lingkaran Berkelanjutan hidup dukungan Microsoft.
Perbesar semua | Perkecil semua

Pada Halaman ini

Ringkasan

UPDATE: pada 6 September 2002, laporan kegiatan berbahaya yang Ikuti pola tertentu yang diuraikan dalam artikel ini telah berkurang secara signifikan. Microsoft tim support produk layanan keamanan telah Modifikasi artikel Pangkalan Pengetahuan Microsoft ini untuk mencerminkan informasi ini dan untuk memperbaiki saran untuk kriteria Deteksi dan perbaikan.

Microsoft telah diselidiki peningkatan dalam kegiatan berbahaya yang mencoba untuk memuat kode pada Server berbasis Microsoft Windows 2000. Kegiatan ini merupakan biasanya terkait dengan program yang telah diidentifikasi sebagai Backdoor.IRC.Flood.

Oleh menganalisis komputer yang telah dikompromikan, Microsoft telah menetapkan bahwa serangan ini tidak muncul untuk mengeksploitasi setiap baru yang terkait produk keamanan kerentanan dan tidak muncul untuk menjadi virus atau worm seperti di alam. Sebaliknya, serangan berusaha manfaatkan dari situasi dimana standar tindakan pencegahan tidak telah diambil sebagai rinci di bagian "Pencegahan". Kegiatan tampaknya dikaitkan dengan serangkaian terkoordinasi individu upaya untuk kompromi server berbasis Windows 2000. Sebagai hasilnya, berhasil kompromi meninggalkan pola khas. Artikel ini berisi daftar file dan program yang akan memberikan bukti kompromi sukses menurut pola ini sehingga Anda dapat mengambil tindakan yang tepat untuk:
  • Mendeteksi komputer dikompromikan.
  • Memperbaiki dan memulihkan komputer dikompromikan.

Informasi lebih lanjut

Dampak serangan

Kompromi server

Gejala

Sistem dikompromikan menunjukkan satu atau lebih gejala berikut:
  • peranti penangkap lunak antivirus dapat menunjukkan bahwa ia telah mendeteksi Trojan, seperti Backdoor.IRC.Flood dan varian. Antivirus terkini Produk (yang menggunakan file up-to-date signature) mendeteksi Trojan ini.
  • Jika komputer dikompromikan pengendali domain, kebijakan keamanan dimodifikasi. Beberapa efek yang mungkin dimodifikasi kebijakan keamanan adalah:
    • Semua account yang sebelumnya telah dinonaktifkan diaktifkan kembali.
    • Account tidak sah yang baru, mungkin dengan administrasi hak istimewa, diciptakan.
    • Izin keamanan berubah pada server atau di Active Directory.
    • Pengguna tidak dapat masuk ke domain dari workstation.
    • Pengguna tidak dapat membuka Active Directory snap-in di Konsol manajemen Microsoft (MMC).
    • Ketika administrator mencoba untuk membuka yang aktif Direktori Situs dan layanan snap-in, Anda menerima pesan galat berikut:
      Penamaan informasi tidak dapat ditemukan karena: server bukanlah operasional. Hubungi administrator sistem Anda untuk memverifikasi bahwa Anda domain dikonfigurasi dengan benar dan sedang online.
    • log galat menampilkan beberapa upaya gagal masuk dari pengguna yang sah yang terkunci di luar.
    • Ketika Anda mencoba untuk menjalankan DCDIAG pada pengendali domain, Anda mungkin menerima salah satu atau lebih dari pesan galat berikut:
      Melakukan konfigurasi awal: [sic1] LDAP mengikat gagal dengan kesalahan 31, peranti penangkap yang melekat pada sistem tidak berfungsi.
      Melakukan konfigurasi awal: [nama server] Mengikat LDAP gagal dengan kesalahan 1323, tidak dapat memperbarui sandi. Nilai disediakan sebagai password yang salah. *** Error: Mesin tidak bisa melampirkan DC karena kredensial salah. Periksa kredensial Anda atau gunakan kredensial dengan /u:<domain>\<user> & /p:[<password>|*|""]</password></user></domain>
      Catatan Dalam pesan kesalahan ini, nama server adalah nama domain controller.
Juga, ketika Anda mencoba untuk membuat cadangan sistem negara pada yang terinfeksi komputer, pesan kesalahan berikut mungkin muncul di log aplikasi pada komputer dimana Anda melakukan backup:
ID peristiwa: 8012
Sumber: NTBackup
Keterangan:
'Direktori aktif' kembali 'perangkat terpasang ke sistem tidak berfungsi.' dari panggilan untuk 'BackupPrepare()' data tambahan '\\ComputerName'.
Catatan Dalam pesan kesalahan ini, ComputerName adalah jaringan sistem masukan/keluaran dasar (NetBIOS) nama komputer.
ID peristiwa: 1000
Sumber: Userenv
Keterangan:
Windows tidak dapat menentukan Nama pengguna atau komputer. gulung balik nilai (1326)

Rincian teknis

Jika komputer telah dikompromikan, mungkin peranti penangkap lunak antivirus mendeteksi kode berbahaya seperti Backdoor.IRC.Flood dan varian. Untuk lebih informasi, hubungi antivirus vendor.

Dalam kasus-kasus yang Microsoft telah dianalisis, server dikompromikan ditemukan memiliki file-file berikut dan program. Kehadiran file ini menunjukkan bahwa sistem telah dikompromikan. Jika file atau program ini ditemukan pada Anda komputer, dan jika mereka tidak dipasang oleh Anda atau dengan pengetahuan Anda, menjalankan scan virus lengkap dengan virus up-to-date program pemindaian.

Catatan Path ke file yang tidak terdaftar karena mereka dapat bervariasi.
  • GG.bat: Gg.bat mencoba untuk menyambung ke server lain sebagai administrator, admin atau akar, Telisik Flashfxp dan WS FTP program server, kopi karbon beberapa file (termasuk Ocxdll.exe) ke server, dan kemudian menggunakan Psexec program untuk mengeksekusi perintah di server jauh.
  • Seced.bat: Seced.bat perubahan keamanan kebijakan.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
Dalam kasus lain, program yang sah telah diinstal oleh penyerang untuk membantu dalam kompromi. Jika program ini ditemukan pada Anda sistem, dan jika Anda tidak menginstal mereka, mungkin mengindikasikan kompromi, dan Anda harus menyelidiki lebih lanjut.
  • PsExec
  • WS FTP
  • FlashFXP
Akhir set file yang terkait dengan serangan ini sepasang sah sistem berkas yang rutin diinstal pada sistem, tetapi trojanized versi yang diinstal sebagai bagian dari serangan. Sebagian vendor antivirus produk, ketika mereka sedang digunakan dalam hubungannya dengan arus masuk virus, akan mendeteksi trojanized versi file ini jika mereka hadir.
  • MDM.exe
  • Taskmngr.exe

Serangan vektor

Analisis untuk tanggal menunjukkan bahwa para penyerang tampaknya memiliki mendapatkan masuk ke sistem dengan menggunakan password administrator lemah atau kosong. Microsoft memiliki ada bukti yang menunjukkan bahwa keamanan apapun sampai sekarang tidak diketahui kerentanan telah digunakan dalam serangan.

Pencegahan

Microsoft menganjurkan bahwa pelanggan melindungi server mereka terhadap ini dan lainnya serangan dengan memastikan bahwa mereka mengikuti standar keamanan terbaik praktik, seperti:
  • Menghilangkan kosong atau lemah administrator sandi.
  • Menonaktifkan semua account.
  • Menjalankan peranti penangkap lunak antivirus yang saat ini dengan up-to-date virus definisi tanda tangan.
  • Menggunakan firewall untuk melindungi server internal, termasuk pengendali domain.
  • Tetap up to date pada semua patch keamanan.
Untuk panduan praktik terbaik untuk prescriptively mengkonfigurasi Berbasis Microsoft Windows 2000 Server, lihat panduan operasi keamanan untuk Windows 2000 Server. Untuk melihat panduan ini, kunjungi Web site Microsoft berikut:
http://technet.Microsoft.com/en-US/Library/dd277322.aspx
Untuk informasi lebih lanjut tentang bagaimana untuk menjaga Windows 2000 Server patch dan aman, kunjungi Web site Microsoft berikut:
http://www.Microsoft.com/TechNet/Security/Current.aspx
Atau, Anda dapat menggunakan Microsoft Security Baseline Analyzer. Untuk informasi lebih lanjut tentang Microsoft Baseline Security Analyzer, Kunjungi situs web Microsoft berikut:
http://technet.Microsoft.com/en-US/Security/cc184924.aspx

Deteksi

Sampai saat ini, sistem hanya dilaporkan telah terpengaruh oleh ini serangan telah sistem yang menjalankan Microsoft Windows 2000 Server. Microsoft menganjurkan bahwa pelanggan memindai mereka Windows 2000 Server berbasis lingkungan untuk menentukan apakah file yang tercantum dalam "teknis Ada rincian"bagian dari artikel ini. Karena beberapa file mungkin telah sah diinstal, pelanggan harus menyelidiki mereka untuk menentukan mereka penggunaan dan maksud.

Pemulihan

Untuk bantuan dengan pemulihan, hubungi dukungan produk Microsoft Layanan dengan menggunakan metode pilihan Anda. Untuk informasi selengkapnya tentang metode untuk Hubungi Layanan Dukungan Produk Microsoft, kunjungi Web Microsoft berikut situs:
http://support.Microsoft.com/

Teknik pemecahan masalah

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana untuk mengubah registri. Namun, masalah serius mungkin muncul saat Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasinya. Kemudian, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322756 Cara membuat cadangan dan memulihkan registri pada Windows


Untuk mengatasi masalah ini, Anda harus mengubah nama khusus file dan kemudian memodifikasi registri. Untuk melakukannya, ikuti langkah-langkah.

Catatan Langkah-langkah berikut adalah hanya solusi sementara. Langkah-langkah hanya menghapus efek dari infeksi asli. Langkah-langkah ini tidak menghapus tambahan virus komputer yang diperoleh setelah komputer itu pertama terinfeksi. Kami merekomendasikan Anda untuk memulihkan sistem operasi dengan menggunakan diverifikasi media backup dari titik baik dikenal, sebelum komputer terinfeksi. Kamu bisa juga format kandar cakram keras, menginstal ulang sistem operasi, dan kemudian gulung balik data hilang dengan menggunakan media backup yang diverifikasi dari yang dikenal baik titik.
  1. Pada komputer berbasis Windows 2000, klik kanan-atas taskbar, dan kemudian klik Task Manager.
  2. Dalam tugas manajer, pilih Taskmngr.exe, dan kemudian klik Akhir.

    Catatan Pastikan bahwa Anda memilih Taskmngr.exe dan tidakTaskmgr.exe
  3. Dekat Task Manager.
  4. Dengan menggunakan Microsoft Penjelajah Windows, menemukan \WINNT\System32 folder. Mengubah nama file-file berikut yang terkandung dalam Folder \WINNT\System32 dengan mengetik .bak pada akhir nama file.

    Catatan Beberapa file tidak boleh terkandung dalam \WINNT\System32 folder.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.HLP
    • Xvpll.HLP
    • Dll32.HLP
    • Httpsearch.ini
    • Mdm.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.SDB
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • GG.bat
    • Ocxdll.exe
    Catatan Untuk mengubah nama file ini, ikuti langkah berikut:
    1. Dalam \WINNT\System32 folder, klik-kanan salah file dalam daftar, klik Mengubah nama, jenis .bak pada akhir nama file, dan kemudian tekan Masukkan.

      Misalnya, Anda dapat mengubah Nt32.ini untuk Nt32.ini.bak.
    2. Ulangi langkah untuk setiap file yang ada di ini Daftar.
  5. Klik Mulai, klik Menjalankan, jenis regedit, lalu klikOke.
  6. Di Penyunting registri, Cari subkunci registri berikut:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. Klik nilai Rundll32 yang referensi Taskmngr.exe di bawah subkunci registri berikut, dan kemudian klik Hapus:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. Jika Anda memiliki pengendali domain Windows 2000 yang telah terinfeksi dengan virus MIRC Trojan, menggunakan Penjelajah Windows untuk menemukan File GmpTpl.inf yang terletak di folder berikut pada Windows 2000 kontroler domain:
    \WINNT\SYSVOL\sysvol\DomainName{\Policies\}pengenal unik global} \MACHINE\Microsoft\Windows NT\SecEdit
    Catatan Dalam nama folder ini, DomainName adalah nama domain Windows 2000.
  9. Membandingkan file GmpTpl.inf yang dikenal baik kopi karbon GmpTpl.inf file. Anda dapat gulung balik kopi karbon file GmpTpl.inf oleh dikenal baik menggunakan diverifikasi media backup dari titik yang dikenal baik atau dengan menggunakan jendela lain 2000 domain controller.

    Catatan Virus MIRC Trojan dapat mengubah atau menambahkan SeNetworkLogonRight nilai yang terkandung dalam GmpTpl.inf file.

Setelah Anda menyelesaikan langkah-langkah ini, kami merekomendasikan bahwa Anda menggunakan peranti penangkap lunak antivirus yang memiliki definisi virus terbaru untuk mendeteksi dan menghapus virus MIRC Trojan. Selanjutnya, memformat dan kemudian menginstal ulang server segera ini nyaman untuk Anda. Kami merekomendasikan tindakan ini karena server telah dikompromikan.

Properti

ID Artikel: 328691 - Kajian Terakhir: 20 Juli 2013 - Revisi: 3.0
Berlaku bagi:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Kata kunci: 
kbenv kbinfo kbsechack kbmt KB328691 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 328691

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com