Wykrywanie i usuwanie skutków ataku konia trojańskiego MIRC

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 328691
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

AKTUALIZACJA: Według stanu na dzień 6 września 2002 liczba opisanych w tym artykule raportów o złośliwym działaniu zgodnym z określonym wzorcem znacząco się zmniejszyła. Zespół ds. zabezpieczeń działający w ramach Pomocy technicznej firmy Microsoft zmodyfikował ten artykuł z bazy wiedzy Microsoft Knowledge Base, aby uwzględnić te informacje i ponownie określić sugestie dotyczące kryteriów wykrywania i naprawy.

Firma Microsoft zbadała wzrost liczby złośliwych działań mających na celu załadowanie kodu na serwerach z systemem Microsoft Windows 2000. Tego typu działania są zazwyczaj skojarzone z programem, który został zidentyfikowany jako Backdoor.IRC.Flood.

Podczas analizy uszkodzonych komputerów firma Microsoft stwierdziła, że ataki prawdopodobnie nie wykorzystują żadnych luk zabezpieczeń związanych z nowymi produktami oraz nie mają charakteru wirusa ani robaka. Ataki te korzystają natomiast z sytuacji, w których nie zostały zastosowane środki ostrożności szczegółowo opisane w sekcji „Ochrona” tego artykułu. Wygląda na to, że takie działanie jest skojarzone ze skoordynowaną serią indywidualnych prób uszkodzenia serwerów z systemem Windows 2000. Pomyślne uszkodzenia pozostawiają po sobie charakterystyczny wzorzec. W tym artykule wymieniono pliki i programy, które mogą dostarczyć dowodów na pomyślne uszkodzenie zgodne w tym wzorcem, aby można było podjąć odpowiednie czynności umożliwiające:
  • Wykrycie uszkodzonych komputerów.
  • Naprawę i odzyskanie uszkodzonych komputerów.

Więcej informacji

Skutki ataku

Uszkodzenie serwera.

Symptomy

Uszkodzone systemy przejawiają co najmniej jeden z następujących symptomów:
  • Oprogramowanie antywirusowe może wskazywać, że zostały wykryte konie trojańskie, takie jak Backdoor.IRC.Flood i jego warianty. Aktualne produkty antywirusowe (wykorzystujące najnowsze pliki sygnatur) wykrywają te konie trojańskie.
  • Jeśli uszkodzony komputer jest kontrolerem domeny, modyfikowane są zasady zabezpieczeń. Poniżej przedstawiono niektóre możliwe efekty modyfikacji zasad zabezpieczeń:
    • Konta gości, które były wcześniej wyłączone, są ponownie włączane.
    • Tworzone są nowe, nieautoryzowane konta, prawdopodobnie z uprawnieniami administratora.
    • Zmieniane są uprawnienia zabezpieczeń na serwerach lub w usłudze Active Directory.
    • Użytkownicy nie mogą zalogować się do domeny ze stacji roboczych.
    • Użytkownicy nie mogą otwierać przystawek usługi Active Directory w programie Microsoft Management Console (MMC).
    • W dziennikach błędów wyświetlane są liczne, nieudane próby zalogowania się przez uprawnionych użytkowników, którzy zostali zablokowani.

Szczegóły techniczne

Jeśli komputer został uszkodzony, oprogramowanie antywirusowe może wykryć złośliwy kod, taki jak Backdoor.IRC.Flood i jego warianty. Aby uzyskać dodatkowe informacje, należy skontaktować się z dostawcą oprogramowania antywirusowego.

W przypadkach przeanalizowanych przez firmę Microsoft na uszkodzonych serwerach znaleziono poniższe pliki i programy. Obecność tych plików wskazuje, że system został uszkodzony. Jeśli na komputerze znajdują się poniższe pliki lub programy, które nie zostały zainstalowane przez użytkownika lub za jego wiedzą, należy za pomocą najnowszego programu skanującego przeprowadzić pełne skanowanie w poszukiwaniu wirusów.

UWAGA: Ścieżki do plików nie zostały podane, ponieważ mogą się zmieniać.
  • Gg.bat: Plik Gg.bat próbuje połączyć się z innymi serwerami jako administrator, szuka na serwerze programów Flashfxp i Ws_ftp, kopiuje na serwer kilka plików (w tym Ocxdll.exe), a następnie przy użyciu programu Psexec wykonuje polecenia na zdalnym serwerze.
  • Seced.bat: Plik Seced.bat zmienia zasady zabezpieczeń.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
W innych przypadkach osoby atakujące ułatwiają sobie uszkodzenie komputera, instalując na nim odpowiednie programy. Znalezienie w systemach poniższych programów, które nie zostały zainstalowane przez użytkownika, może oznaczać uszkodzenie i konieczność przeprowadzenia dodatkowych badań.
  • Psexec
  • Ws_ftp
  • Flashfxp
Ostatnim zestawem plików skojarzonych z tymi atakami jest rutynowo instalowana w systemach para plików systemowych, których wersje „trojańskie” są instalowane jako część ataku. Większość produktów antywirusowych używanych razem z aktualnymi sygnaturami wirusów umożliwia wykrywanie wersji „trojańskich” tych plików, jeśli są one obecne w systemie.
  • MDM.exe
  • Taskmngr.exe

Cele ataków

Analizy przeprowadzone do tej pory wskazują, że osobom atakującym prawdopodobnie udało się uzyskać dostęp do systemów przy użyciu słabych lub pustych haseł administratorów. Firma Microsoft nie dysponuje dowodami na to, że w czasie ataków zostały wykorzystane jakiekolwiek nieznane dotychczas luki zabezpieczeń.

Ochrona

Firma Microsoft zaleca, aby klienci chronili swoje serwery przed tym i innymi atakami, przestrzegając standardowych wskazówek dotyczących zabezpieczeń, takich jak:
  • Eliminowanie pustych lub słabych haseł administratorów.
  • Wyłączanie konta gościa.
  • Uruchamianie aktualnego oprogramowania antywirusowego z najnowszymi definicjami sygnatur wirusów.
  • Stosowanie zapór do ochrony serwerów wewnętrznych, w tym kontrolerów domen.
  • Znajomość wszystkich najnowszych poprawek zabezpieczeń.
Pomoc na temat najważniejszych wskazówek dotyczących standardowego konfigurowania serwerów z systemem Microsoft Windows 2000 można znaleźć w podręczniku Security Operations Guide for Windows 2000 Server. Aby zapoznać się z tym podręcznikiem, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/default.asp
Aby uzyskać więcej informacji dotyczących aktualizacji poprawek i utrzymywania bezpieczeństwa serwera Windows 2000 Server, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/current.asp
Można również użyć narzędzia Microsoft Security Baseline Analyzer. Aby uzyskać więcej informacji na temat narzędzia Microsoft Security Baseline Analyzer, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp

Wykrywanie

Do tej pory jedynymi zgłoszonymi systemami, na które przeprowadzono atak, były systemy Microsoft Windows 2000 Server. Firma Microsoft zaleca klientom przeskanowanie środowisk opartych na systemie Windows 2000 Server w celu określenia, czy występują w nich pliki wymienione w sekcji „Szczegóły techniczne” tego artykułu. Ponieważ niektóre z tych plików mogły zostać zainstalowane przez użytkowników, klienci powinni je zbadać, aby określić ich wykorzystanie i przeznaczenie.

Odzyskiwanie

Aby uzyskać pomoc dotyczącą odzyskiwania, skontaktuj się z Pomocą techniczną firmy Microsoft, korzystając z preferowanej metody. Aby uzyskać więcej informacji na temat metod kontaktowania się z Pomocą techniczną firmy Microsoft, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://support.microsoft.com/poland

Właściwości

Numer ID artykułu: 328691 - Ostatnia weryfikacja: 1 października 2003 - Weryfikacja: 1.0
Słowa kluczowe: 
kbinfo kbenv kbsechack KB328691

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com