Detecção e reparação de um ataque relacionado com o cavalo de Tróia MIRC

Traduções de Artigos Traduções de Artigos
Artigo: 328691 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

ACTUALIZAÇÃO: desde 6 de Setembro de 2002, têm diminuído significativamente os relatórios de actividade maliciosa nos moldes descritos neste artigo. A equipa de segurança do suporte técnico da Microsoft modificou este artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) para reflectir esta informação e para optimizar as sugestões de critérios de detecção e reparação.

A Microsoft investigou um aumento na actividade maliciosa que tenta carregar código em servidores baseados no Microsoft Windows 2000. Esta actividade está normalmente associada a um programa que foi identificado como Backdoor.IRC.Flood.

Analisando computadores que foram afectados, a Microsoft determinou que estes ataques parecem não explorar quaisquer novas vulnerabilidades relacionadas com produtos e parecem não ser do tipo vírus ou worm. Em vez disso, os ataques procuram tirar partido de situações em que não foram tomadas as precauções padrão pormenorizadas na secção "Prevenção". A actividade parece estar associada a uma série coordenada de tentativas individuais de comprometer servidores baseados no Windows 2000. Consequentemente, os ataques com êxito deixam um rasto característico. Este artigo lista ficheiros e programas que poderão fornecer provas de um ataque com êxito, nestes moldes, para que possa efectuar as acções adequadas para:
  • Detectar computadores afectados.
  • Reparar e recuperar computadores afectados.

Mais Informação

Impacto de um ataque

Servidor afectado

Sintomas

Os sistemas afectados apresentam um ou mais dos seguintes sintomas:
  • O software antivírus poderá indicar a detecção de cavalos de Tróia, como o Backdoor.IRC.Flood, e respectivas variantes. Os produtos antivírus actuais (que utilizem ficheiros de assinaturas actualizados) detectam estes cavalos de Tróia.
  • Se o computador afectado for um controlador de domínio, a política de segurança é modificada. Seguem-se alguns dos possíveis efeitos de uma política de segurança modificada:
    • Contas de convidado anteriormente desactivadas são reactivadas.
    • São criadas novas contas não autorizadas, possivelmente com privilégios administrativos.
    • São alteradas permissões de segurança em servidores ou no Active Directory.
    • Os utilizadores não conseguem iniciar sessão no domínio a partir de estações de trabalho.
    • Os utilizadores não conseguem abrir snap-ins do Active Directory na consola de gestão da Microsoft (MMC, Microsoft Management Console).
    • Quando um administrador tenta abrir o snap-in Serviços e locais do Active Directory (Active Directory Sites and Services), recebe a seguinte mensagem de erro:
      Não é possível localizar informações sobre atribuição de nomes devido a: O servidor não está operacional. Contacte o administrador do sistema para verificar se o domínio está correctamente configurado e presentemente online.

      [Naming Information cannot be located because: The server is not operational. Contact your system administrator to verify that your domain is properly configured and is currently online.]
    • Os registos de erros apresentam múltiplas tentativas falhadas de início de sessão de utilizadores legítimos que foram bloqueados.
    • Quando tenta executar o DCDIAG num controlador de domínio, poderá receber uma ou mais das seguintes mensagens de erro:
      Performing initial setup: [sic1] LDAP bind failed with error 31, a device attached to the system is not functioning.
      Performing initial setup: [Nome_do_servidor] LDAP bind failed with error 1323, unable to update the password. The value provided as the current password is incorrect. ***Error: The machine could not attach to the DC because the credentials were incorrect. Check your credentials or specify credentials with /u:<domínio>\<utilizador> & /p:[<palavra-passe>|*|""]
      Nota: nesta mensagem de erro, Nome_do_servidor é o nome do controlador de domínio.
Além disso, quando tenta criar uma cópia de segurança do estado do sistema no computador infectado, poderão ser apresentadas as seguintes mensagens de erro no registo de aplicações do computador em que está a criar a cópia de segurança:
ID do evento: 8012
Origem: NTBackup
Descrição:
'Active Directory' devolveu 'Um dispositivo ligado ao sistema não está a funcionar.' de uma chamada para dados adicionais 'BackupPrepare()' '\\Nome_do_computador'.
[The 'Active Directory' returned 'A device attached to the system is not functioning.' from a call to 'BackupPrepare()' additional data '\\Nome_do_computador'.]
Nota: nesta mensagem de erro, Nome_do_computador é o nome de NetBIOS (network basic input/output system) do computador.
ID do evento: 1000
Origem: Userenv
Descrição:
O Windows não consegue determinar o nome do computador ou utilizador. Valor de devolução (1326)
[Windows cannot determine user or computer name. Return value (1326)]

Detalhes técnicos

Se o computador tiver sido afectado, o software antivírus poderá detectar código malicioso como o Backdoor.IRC.Flood e respectivas variantes. Para obter mais informações, contacte o fornecedor do antivírus.

Nos casos que a Microsoft analisou, os servidores afectados tinham os ficheiros e programas que se seguem. A presença destes ficheiros indica que o sistema foi afectado. Se encontrar estes ficheiros ou programas no computador, e caso não tenham sido instalados pelo utilizador ou com o seu conhecimento, efectue uma verificação completa da existência de vírus com um programa de detecção de vírus actualizado.

Nota: os caminhos dos ficheiros não são listados porque poderão variar.
  • Gg.bat: o Gg.bat tenta ligar a outros servidores como administrador, admin ou raiz, procura os programas Flashfxp e Ws_ftp no servidor, copia vários ficheiros (incluindo Ocxdll.exe) para o servidor e, em seguida, utiliza o programa Psexec para executar comandos no servidor remoto.
  • Seced.bat: o Seced.bat altera a política de segurança.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
Noutros casos, programas legítimos foram instalados por atacantes para ajudar a comprometer o computador. Se estes programas forem detectados nos seus sistemas, e caso não os tenha instalado, poderá indicar que o computar está afectado, e deverá investigar melhor.
  • Psexec
  • Ws_ftp
  • Flashfxp
Um conjunto final de ficheiros que estão associados a estes ataques é um par de ficheiros de sistema legítimos que estão normalmente instalados em sistemas, mas as versões destes que dizem respeito aos cavalos de Tróia são instaladas como parte do ataque. A maioria dos produtos de fornecedores de antivírus, quando utilizada em conjunto com assinaturas de vírus actualizadas, detecta as versões destes ficheiros relativas aos cavalos de Tróia, caso estejam presentes.
  • MDM.exe
  • Taskmngr.exe

Vectores de ataque

As análises até à data indicam que os atacantes, aparentemente, conseguem entrar nos sistemas utilizando palavras-passe de administrador em branco ou não seguras. A Microsoft não tem provas de que tenha sido utilizada nos ataques qualquer vulnerabilidade de segurança até agora desconhecida.

Prevenção

A Microsoft recomenda que os clientes protejam os respectivos servidores contra este e outros ataques certificando-se de que seguem procedimentos de segurança padrão recomendados, como:
  • Eliminar palavras-passe de administrador em branco ou não seguras.
  • Desactivar a conta de convidado.
  • Executar software antivírus actual com definições de assinaturas de vírus actualizadas.
  • Utilizar firewalls para proteger servidores internos, incluindo controladores de domínio.
  • Ter os sistemas sempre actualizados relativamente a patches de segurança.
Para obter orientações relativas aos procedimentos recomendados para configurar servidores baseados no Microsoft Windows 2000, consulte o Security Operations Guide for Windows 2000 Server. Para ver este manual, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=f0b7b4ee-201a-4b40-a0d2-cdd9775aeff8
Para obter mais informações sobre como manter o Windows 2000 Server seguro, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/current.aspx
Em alternativa, pode utilizar o Microsoft Security Baseline Analyzer. Para obter mais informações sobre o Microsoft Security Baseline Analyzer, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx

Detecção

Até à data, os comunicados de sistemas afectados por este ataque referem apenas sistemas com o Microsoft Windows 2000 Server. A Microsoft recomenda que os clientes verifiquem os respectivos ambientes baseados no Windows 2000 Server para determinar se os ficheiros listados na secção "Detalhes técnicos" deste artigo existem. Dado que alguns dos ficheiros poderão ter sido instalados de forma legítima, os clientes devem investigá-los para determinar a respectiva utilização e objectivo.

Recuperação

Para obter ajuda para a recuperação, contacte o suporte técnico da Microsoft utilizando o método preferido. Para obter mais informações sobre métodos para contactar o suporte técnico da Microsoft, visite o seguinte Web site da Microsoft:
http://support.microsoft.com/default.aspx?ln=PT

Como contornar

Aviso: a utilização incorrecta do Editor de registo (Registry Editor) poderá provocar problemas graves que poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo (Registry Editor) possam ser resolvidos. Todo e qualquer risco decorrente da utilização do Editor de registo (Registry Editor) é da responsabilidade do utilizador.

Para contornar este problema, tem de mudar o nome de ficheiros específicos e, em seguida, modificar o registo. Para o fazer, siga estes passos.

Nota: os passos que se seguem constituem apenas uma solução temporária. Estes passos apenas removem os efeitos da infecção original. Não removem quaisquer vírus adicionais introduzidos no computador depois da primeira infecção. Recomendamos que restaure o sistema operativo utilizando um suporte de cópia de segurança verificado de um ponto em boas condições de funcionamento, anterior à infecção do computador. Também pode formatar o disco rígido, reinstalar o sistema operativo e, em seguida, restaurar os dados em falta utilizando um suporte de cópia de segurança verificado de um ponto em boas condições de funcionamento.
  1. No computador baseado no Windows 2000, clique com o botão direito do rato na barra de tarefas e clique em Gestor de tarefas (Task Manager).
  2. No Gestor de tarefas (Task Manager), seleccione Taskmngr.exe e clique em Concluir o processo (End).

    Nota: certifique-se de que selecciona Taskmngr.exe e não Taskmgr.exe.
  3. Feche o Gestor de tarefas (Task Manager).
  4. Utilizando o Explorador do Windows (Windows Explorer), localize a pasta \WINNT\System32. Mude o nome dos seguintes ficheiros contidos na pasta \WINNT\System32 escrevendo .bak no fim do nome do ficheiro.

    Nota: alguns destes ficheiros poderão não estar na pasta \WINNT\System32.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.hlp
    • Xvpll.hlp
    • Dll32.hlp
    • Httpsearch.ini
    • Mdm.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • Gg.bat
    • Ocxdll.exe
    Nota: para mudar o nome destes ficheiros, siga estes passos:
    1. Na pasta \WINNT\System32, clique com o botão direito do rato num dos ficheiros da lista, clique em Mudar o nome (Rename), escreva .bak no fim do nome do ficheiro e prima Enter.

      Por exemplo, pode mudar o nome de Nt32.ini para Nt32.ini.bak.
    2. Repita este passo para cada ficheiro da lista.
  5. Clique em Iniciar (Start), clique em Executar (Run), escreva regedit e clique em OK.
  6. No Editor de registo (Registry Editor), localize a seguinte subchave de registo:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. Clique no valor Rundll32 que referencia Taskmngr.exe na seguinte subchave de registo e clique em Eliminar (Delete):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. Se tiver um controlador de domínio do Windows 2000 que tenha sido infectado com o vírus do tipo cavalo de Tróia MIRC, utilize o Explorador do Windows (Windows Explorer) para localizar o ficheiro GmpTpl.inf na seguinte pasta do controlador de domínio do Windows 2000:
    \WINNT\SYSVOL\sysvol\Nome_do_domínio\Policies\{GUID}\MACHINE\Microsoft\Windows NT\SecEdit
    Nota: no nome desta pasta, Nome_do_domínio é o nome do domínio do Windows 2000.
  9. Compare o ficheiro GmpTpl.inf com uma cópia correcta do mesmo. Pode restaurar uma cópia correcta do ficheiro GmpTpl.inf utilizando um suporte de cópia de segurança verificado de um ponto em boas condições de funcionamento ou utilizando outro controlador de domínio do Windows 2000.

    Nota: o vírus do tipo cavalo de Tróia MIRC poderá alterar ou adicionar o valor SeNetworkLogonRight contido no ficheiro GmpTpl.inf.

Depois de concluir estes passos, recomendamos que utilize um software antivírus com as definições de vírus mais recentes para detectar e remover o vírus do tipo cavalo de Tróia MIRC. Em seguida, formate e reinstale o servidor assim que for conveniente. Recomendamos esta acção dado que o servidor foi afectado.

Propriedades

Artigo: 328691 - Última revisão: 3 de março de 2006 - Revisão: 4.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbenv kbinfo kbsechack KB328691

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com