ID do artigo: 328691 - Última revisão: terça-feira, 2 de março de 2004 - Revisão: 3.0

Detecção e Reparo de Ataque Relacionado a Cavalo de Tróia na MIRC

Exibir os produtos aos quais esse artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Recolher tudo

Sumário

ATUALIZAÇÃO: Desde o dia 6 de setembro de 2002, relatos de atividade mal-intencionada que seguem o padrão especificado neste artigo diminuíram consideravelmente. A Equipe de Segurança do Atendimento Microsoft modificou este artigo da Base de Dados de Conhecimento da Microsoft para refletir essas informações e aprimorar as sugestões relacionadas aos critérios de detecção e reparo.

A Microsoft observou um aumento na atividade mal-intencionada que tenta carregar códigos em servidores baseados em Microsoft Windows 2000. Essa atividade está normalmente ligada a um programa identificado como Backdoor.IRC.Flood.

Ao analisar computadores contaminados, a Microsoft observou que esses ataques não parecem explorar nenhuma nova vulnerabilidade de segurança de algum produto e não aparentam ter natureza semelhante à de vírus ou worms. Na verdade, os ataques procuram se aproveitar das situações em que as precauções padrão não foram tomadas como indica a seção "Prevenção" deste artigo. A atividade aparenta estar associada a uma série de tentativas individuais coordenadas de comprometer servidores baseados em Windows 2000. Dessa forma, os danos deixam um padrão característico. Este artigo indica arquivos e programas que apresentarão indícios de um dano de acordo com esse padrão, para que você possa realizar a ação apropriada:
  • Detectar computadores infectados.
  • Reparar e recuperar computadores infectados.
Voltar para o início

Mais Informações

Impacto do Ataque

Dano do Servidor

Sintomas

Sistemas infectados apresentam um ou mais dos seguintes sintomas:
  • Software de antivírus podem indicar a detecção de Cavalos de tróia, como Backdoor.IRC.Flood e suas variantes. Produtos de antivírus atuais (que usam arquivos de assinatura atualizados) detectam esses Cavalos de tróia.
  • Se o computador infectado for um controlador de domínio, a diretiva de segurança é modificada. Alguns dos possíveis efeitos de uma diretiva de segurança modificada são:
    • Contas de convidados anteriormente desativadas são reativadas.
    • Novas contas autorizadas, possivelmente com privilégios administrativos, são criadas.
    • As permissões de segurança são alteradas em servidores ou no Active Directory.
    • Os usuários não podem fazer logon no domínio a partir das estações de trabalho.
    • Os usuários não podem abrir snap-ins do Active Directory no Console de Gerenciamento Microsoft (MMC).
    • Logs de erro exibem várias tentativas falhas de fazer logon por parte de usuários que estavam bloqueados.

Detalhes Técnicos

Se o computador estiver infectado, o software de antivírus pode detectar códigos mal-intencionados, como Backdoor.IRC.Flood e suas variantes. Para obter mais informações, entre em contato com o fornecedor do seu antivírus.

Nos casos analisados pela Microsoft, os servidores infectados apresentaram os seguintes arquivos e programas. A presença desses arquivos indica que o sistema foi infectado. Se esses arquivos ou programas forem encontrados no seu computador, e não foram instalados por você ou sem você saber, faça uma varredura completa em busca de vírus com um programa de antivírus atualizado.

NOTA: Não são indicados os caminhos desses arquivos porque eles podem variar.
  • Gg.bat: Gg.bat tenta se conectar a outros servidores como administrador, admin ou raiz, procura Flashfxp e os programas Ws_ftp no servidor, copia diversos arquivos (incluindo Ocxdll.exe) para o servidor, e então usa o programa Psexec para executar comandos no servidor remoto.
  • Seced.bat: Seced.bat altera a diretiva de segurança.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
Em outros casos, os invasores instalaram programas legítimos para ajudar na infecção. Se forem encontrados programas desse tipo em seus sistemas, e não tiver sido você quem os instalou, isso pode indicar uma infecção, que deve ser analisada mais detalhadamente.
  • Psexec
  • Ws_ftp
  • Flashfxp
Um conjunto final de arquivos associados a esses ataques formam um par de arquivos de sistema legítimos normalmente instalados nos sistemas, mas versões com cavalos de tróia fazem parte do ataque. A maioria dos produtos de antivírus, quando usados em conjunto com as assinaturas de vírus atuais, detectará as versões com cavalos de tróia desses arquivos caso elas estejam presentes.
  • MDM.exe
  • Taskmngr.exe
Voltar para o início

Vetores de Ataque

A análise dos dados indica que os invasores parecem ter conseguido entrar nos sistemas usando senhas fáceis de adivinhar ou em branco. A Microsoft não tem material para sugerir que qualquer vulnerabilidade de segurança desconhecida anteriormente tenha sido usada nos ataques.
Voltar para o início

Prevenção

A Microsoft recomenda que seus clientes protejam seus servidores contra esse e outros ataques, seguindo as boas práticas de segurança padrão, como:
  • Acabar com senhas de administrador fáceis de adivinhar ou em branco.
  • Desativar a conta de convidado.
  • Executar software de antivírus com definições de assinatura atualizadas.
  • Usar firewalls para proteger servidores internos, incluindo controladores de domínio.
  • Permanecer atualizado em relação a todos os patches de segurança.
Para obter ajuda sobre as melhores práticas para se configurar servidores baseados em Microsoft Windows 2000, consulte o Security Operations Guide for Windows 2000 Server. Para consultar esse guia, visite o seguinte site da Microsoft na Web:
http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/default.asp (http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/default.asp)
Para obter mais informações sobre como manter o Windows 2000 Server com patch e seguro, visite o seguinte site da Microsoft na Web:
http://www.microsoft.com/technet/security/current.asp (http://www.microsoft.com/technet/security/current.asp)
Você também pode usar o Microsoft Baseline Security Analyzer (MBSA). Para obter mais informações sobre o MBSA, visite o seguinte site da Microsoft na Web:
http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp (http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp)
Voltar para o início

Detecção

De maneira geral, os únicos sistemas infectados por esse ataque foram sistemas que executavam o Microsoft Windows 2000 Server. A Microsoft recomenda que os clientes verifiquem seus ambientes baseados em Windows 2000 Server para saber se há os arquivos listados na seção "Detalhes Técnicos". Como alguns arquivos foram instalados regularmente, os clientes devem analisá-los para saber seu uso e intenção.
Voltar para o início

Recuperação

Para obter ajuda sobre a recuperação, entre em contato com o Atendimento Microsoft usando o seu método preferido. Para obter informações sobre os métodos para entrar em contato com o Atendimento Microsoft, visite o seguinte site da Microsoft na Web:
http://support.microsoft.com/ (http://support.microsoft.com/)
Voltar para o início
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
Voltar para o início
Palavras-chave: 
kbinfo kbenv kbsechack KB328691
Voltar para o início