Rilevamento e risoluzione di attacchi di tipo Trojan MIRC

Traduzione articoli Traduzione articoli
Identificativo articolo: 328691
Questo articolo è stato precedentemente pubblicato con il codice di riferimento I328691
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

AGGIORNAMENTO: al 6 settembre 2002 le segnalazioni di attività dannose del particolare tipo descritto in questo articolo sono risultate ridotte significativamente. Il Supporto Tecnico Microsoft ha modificato il contenuto di questo articolo della Microsoft Knowledge Base in modo da tenere conto di queste informazioni e perfezionare i suggerimenti per i criteri di rilevamento e risoluzione.

Microsoft ha esaminato un numero crescente di attività dannose legate al tentativo di caricare codice in server basati su Microsoft Windows 2000. Questo tipo di attività è in genere associato a un programma che è stato identificato come Backdoor.IRC.Flood.

Dall'analisi dei computer compromessi, si è determinato che questi attacchi non sembrano sfruttare nessuno dei problemi di protezione relativi ai nuovi prodotti né sembrano di tipo imputabile a virus o virus worm. Al contrario, gli attacchi sembrano sfruttare situazioni in cui non siano state prese le precauzioni standard descritte nel dettaglio nella sezione "Prevenzione" di questo articolo. L'attività appare inoltre associata a una serie coordinata di tentativi individuali di compromettere server basati su Windows 2000. Come risultato, gli attacchi andati a buon fine presentano uno schema distintivo. In questo articolo sono elencati file e programmi, la cui presenza nel computer può costituire una prova di un attacco andato a buon fine che presenti questo tipo di schema, in modo da poter adottare le contromisure appropriate:
  • Identificare i computer compromessi.
  • Riparare e ripristinare i computer compromessi.

Informazioni

Impatto dell'attacco

Compromissione del server

Sintomi

I sistemi compromessi mostrano uno o più dei seguenti sintomi:
  • Il software antivirus potrebbe indicare che sono stati rilevati virus di tipo Trojan, quali Backdoor.IRC.Flood e sue varianti. La maggior parte dei prodotti correnti dei fornitori di programmi antivirus, che utilizza file di firma aggiornati, è in grado di rilevare questi virus Trojan.
  • Se il sistema compromesso è un controller di dominio, il relativo criterio di protezione risulterà modificato. Alcuni dei possibili effetti derivanti dalla modifica di un criterio di protezione sono:
    • Gli account Guest precedentemente disabilitati risultano riabilitati.
    • Nuovi account non autorizzati, possibilmente con privilegi di amministratore.
    • Autorizzazioni di protezione modificate su server o in Active Directory.
    • Utenti impossibilitati ad accedere al dominio dalla propria workstation.
    • Utenti impossibilitati ad avviare gli snap-in di Active Directory in Microsoft Management Console (MMC).
    • Nei log degli errori sono registrati vari tentativi di accesso non andati a buon fine da parte di utenti autorizzati a cui è stato bloccato l'accesso.

Informazioni tecniche

Se il computer è stato compromesso, il software antivirus potrebbe rilevare codice dannoso, quale Backdoor.IRC.Flood e sue varianti. Per ulteriori informazioni, rivolgersi al rivenditore del software antivirus.

Nei casi analizzati da Microsoft, nei server compromessi sono stati rilevati i file e i programmi elencati di seguito. La presenza di questi file indica che il sistema è stato compromesso. Se questi file o programmi vengono trovati nel computer, senza che siano stati installati dagli utenti legittimi, eseguire un programma antivirus aggiornato in tutto il sistema.

NOTA: i percorsi dei file non sono elencati in quanto possono variare.
  • Gg.bat: Gg.bat tenta di connettersi ad altri server con account "administrator", "admin" o "root". Cerca quindi sul server i programmi Flashfxp e Ws_ftp, copia numerosi file, tra cui Ocxdll.exe, sul server e infine utilizza il programma Psexec per eseguire comandi sul server remoto.
  • Seced.bat: Seced.bat modifica il criterio di protezione.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
In altri casi programmi legittimi sono stati installati dall'utente che ha sferrato l'attacco allo scopo di facilitare l'attacco stesso. Se questi programmi vengono trovati nel sistema, senza che siano stati installati dagli utenti legittimi, la loro presenza potrebbe indicare che il sistema è stato compromesso e pertanto è necessario eseguire un'analisi approfondita.
  • Psexec
  • Ws_ftp
  • Flashfxp
Un gruppo finale di file associato a questi attacchi è composto da una coppia di file di sistema legittimi normalmente installati nei sistemi, con la sola differenza che in questi casi si tratti di una versione di tipo Trojan di tali file, installata durante l'attacco. La maggior parte dei prodotti correnti dei fornitori di programmi antivirus, se utilizzata con i file di firma aggiornati, è in grado di rilevare le versioni Trojan di questi file, se presenti nel computer.
  • MDM.exe
  • Taskmngr.exe

Vettori di attacchi

Analisi aggiornate indicano che gli utenti malintenzionati sono riusciti ad avere accesso ai sistemi sfruttando password di amministratore vuote o poco sicure. Microsoft non dispone di prove che suggeriscano che durante gli attacchi siano stati sfruttati problemi di protezione finora ignoti.

Prevenzione

Microsoft consiglia di proteggere i server da questi e altri attacchi applicando le procedure ottimali per la protezione, tra cui:
  • Eliminazione di password di amministratore vuote o poco sicure.
  • Disattivazione dell'account Guest.
  • Esecuzione dell'ultima versione del software antivirus con definizioni delle firme dei virus sempre aggiornate.
  • Utilizzo di firewall per proteggere server interni, compresi controller di dominio.
  • Applicazione di patch della protezione sempre aggiornate.
Per informazioni sulle procedure ottimali per proteggere adeguatamente i server in cui è installato Microsoft Windows 2000, consultare la guida relativa alle operazioni di protezione per Windows 2000 Server (informazioni in lingua inglese). Per ottenere questa guida, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/default.asp
Per ulteriori informazioni su come mantenere aggiornati e protetti i server in cui è installato Windows 2000, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/technet/security/current.asp
In alternativa è possibile utilizzare Microsoft Security Baseline Analyzer. Per ulteriori informazioni su Microsoft Security Baseline Analyzer, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp

Rilevamento

A oggi gli unici sistemi segnalati come oggetto di questo tipo di attacco sono stati sistemi in cui è installato Microsoft Windows 2000 Server. Microsoft consiglia di analizzare i propri ambienti basati su Windows 2000 Server per determinare se sono presenti i file elencati nella sezione "Informazioni tecniche" di questo articolo. Poiché alcuni di questi file potrebbero essere stati installati volutamente da utenti legittimi, è buona norma eseguire indagini approfondite per determinarne l'utilizzo e lo scopo.

Ripristino

Per ottenere assistenza per il ripristino di sistemi compromessi, contattare il Supporto Tecnico Microsoft. Per ulteriori informazioni su come contattare il Servizio Supporto Tecnico Microsoft (PSS), visitare il seguente sito Web:
http://support.microsoft.com/

Proprietà

Identificativo articolo: 328691 - Ultima modifica: venerdì 22 novembre 2002 - Revisione: 1.0
Chiavi: 
kbinfo kbenv kbsechack KB328691
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com