Обнаружение и удаление вирусов MIRC "Троянский конь"

Переводы статьи Переводы статьи
Код статьи: 328691 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

ОБНОВЛЕНИЕ: По состоянию на 6 сентября 2002 г. количество сообщений о деятельности злоумышленников, построенной на определенной схеме, которая описывается в данной статье, значительно уменьшилось. Отдел безопасности службы технической поддержки Майкрософт внес изменения в содержание этой статьи базы знаний Майкрософт с целью отображения информации и указания рекомендаций относительно критериев выявления и восстановления зараженных компьютеров.

Специалисты корпорации Майкрософт изучили возросшие попытки загрузки кода на серверы под управлением Microsoft Windows 2000. Отмеченные действия связаны с программой, получившей определение Backdoor.IRC.Flood.

После анализа компьютеров, подвергшихся атакам злоумышленников, специалисты компании Майкрософт установили, что при этих атаках не использовались новые уязвимости системы безопасности продуктов и по своей природе они не являются вирусами или компьютерными червями. При совершении атак предпринимаются попытки использовать ситуации, в которых не были соблюдены стандартные меры безопасности, подробно описанные в разделе "Меры предосторожности". Судя по всему, подобные действия связаны со скоординированными сериями индивидуальных атак, целью которых является нарушение безопасности серверов под управлением Windows 2000. Как результат, успешные попытки имеют отличительное свойство. В данной статье перечисляются файлы и программы, свидетельствующие о проведении успешной атаки в соответствии с определенной схемой. Таким образом, вы можете принять соответствующие меры для того, чтобы:
  • выявить компьютеры, подвергшиеся атаке;
  • восстановить безопасность и функциональные возможности компьютеров, подвергшихся атаке.

Дополнительная информация

Воздействие атаки

Нарушение работы сервера

Признаки

Системы, подвергшиеся атаке, обладают одним или несколькими из следующих признаков:
  • Антивирусные программы указывают на присутствие "троянских коней", например, Backdoor.IRC.Flood или его разновидностей. Имеющееся антивирусное программное обеспечение (с базой данных вирусов самой последней версии) способно выявить этих "троянских коней".
  • Если компьютер, подвергшийся атаке, является контроллером домена, в таком случае политика безопасности будет изменена. Некоторые из возможных последствий изменения политики безопасности таковы:
    • ранее отключенные учетные записи «Гость» будут активированы;
    • будут созданы новые неавторизованные учетные записи, которые, возможно, будут обладать полномочиями администраторов;
    • на серверах или в Active Directory будут изменены права доступа;
    • пользователи не смогут подключаться к домену со своих рабочих станций;
    • пользователи не смогут открывать оснастки «Active Directory» в консоли управления Майкрософт (ММС).
    • При попытке администратора открыть оснастку «Active Directory — сайты и службы» вы получите следующее сообщение об ошибке:
      Не удалось найти сведения об именах по следующей причине: Сервер неработоспособен. Обратитесь к администратору и удостоверьтесь в правильности настройки домена, а также в том, что он работает.
    • Журналы ошибок содержат записи о нескольких неудачных попытках входа в систему, предпринятых законными пользователями, которые были заблокированы.
    • При попытке запуска DCDIAG на контроллере домена пользователь может получить одно или несколько следующих сообщений об ошибках:
      Выполняется начальная настройка: [sic1] произошел сбой привязки LDAP с ошибкой 31, устройство, подключенное к системе, не функционирует.
      Выполняется начальная настройка: [Имя_сервера] произошел сбой привязки LDAP с ошибкой 1323, невозможно обновить пароль. Текущий пароль был задан неверно. *** Ошибка: Машине не удалось подключиться к контроллеру домена, так как указаны неверные учетные данные. Проверьте учетные данные или укажите учетные данные, содержащие /u:<домен>\<пользователь> & /p:[<пароль>|*|""]
      Примечание. В данном сообщении об ошибке Имя_сервера обозначает имя контроллера домена.
Кроме того, при попытке выполнить архивацию состояния системы зараженного компьютера в журнале событий этого компьютера могут появиться сообщения об ошибке следующего содержания:
Код события: 8012
Источник: NTBackup
Описание:
'Active Directory' вернул сообщение об ошибке 'Устройство, подключенное к системе, не функционирует.' в результате вызова 'BackupPrepare()' дополнительных данных '\\Имя_компьютера'.
Примечание. В этом сообщении об ошибке Имя_компьютера обозначает имя компьютера базовой сетевой системы ввода/вывода (NetBIOS).
Код события: 1000
Источник: Userenv
Описание:
Не удалось определить имя пользователя или компьютера. Возвращенное значение (1326)

Технические подробности

Если компьютер был подвержен атаке, антивирусное программное обеспечение может обнаружить злонамеренный программный код, такой как Backdoor.IRC.Flood и его разновидности. За дополнительными сведениями обратитесь к поставщику антивирусного программного обеспечения.

В проанализированных специалистами корпорации Майкрософт случаях атак, на поврежденных серверах были найдены следующие файлы и программы. Наличие этих файлов свидетельствует о том, что система была атакована. При выявлении этих файлов или программ, которые не были установлены вами или с вашего ведома, выполните поиск вирусов на компьютере при помощи антивирусной программы с последней версией базы данных вирусов.

Примечание. Здесь не указываются пути к файлам, так как они могут отличаться.
  • Gg.bat: Gg.bat пытается подключиться к другим серверам в качестве администратора, в каталог администратора или корневой каталог, выполняет на сервере поиск программ Flashfxp и Ws_ftp, копирует на сервер несколько файлов (включая Ocxdll.exe), а затем использует программу Psexec для выполнения команд на удаленном сервере.
  • Seced.bat: Файл Seced.bat изменяет политику безопасности.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
Законные по своей сущности программы, которые устанавливаются злоумышленниками с целью облегчить проникновение в систему. Если вы не устанавливали эти программы и обнаружили их в своей системе, это может свидетельствовать о том, что компьютер подвергся атаке, поэтому необходимо провести тщательное расследование.
  • Psexec
  • Ws_ftp
  • Flashfxp
Конечный набор файлов, связанных с этими атаками, представляет собой пару вполне безопасных системных файлов, как правило, устанавливаемых в систему в рабочем порядке, но является их «троянской» версией, установка которых является частью атаки. Большинство антивирусных программ, оснащенных последними версиями сигнатур вирусов, выявит «троянские» версии этих файлов, при их наличии.
  • MDM.exe
  • Taskmngr.exe

Направления атаки

Анализ сложившейся ситуации свидетельствует о том, что злоумышленники, вероятнее всего, проникли в системы, воспользовавшись ненадежными или пустыми паролями администратора. Корпорация Майкрософт не располагает данными о том, что в ходе атак использовались ранее не известные уязвимости системы безопасности.

Предотвращение

Дабы избежать подобных атак на свои серверы, корпорация Майкрософт рекомендует клиентам соблюдать стандартные рекомендации по обеспечению безопасности, а именно:
  • избегать использования пустых или ненадежных паролей администратора;
  • отключить учетные записи «Гость»;
  • установить последнюю версию антивирусного программного обеспечения с обновленным набором сигнатур вирусов;
  • использовать брандмауэр для защиты внутренних серверов, включая контроллеры домена;
  • устанавливать все последние версии исправлений безопасности.
Более подробно ознакомиться с рекомендациями по безопасности, необходимыми для надежной настройки серверов, работающих под управлением Microsoft Windows 2000, можно в руководстве «Security Operations Guide for Windows 2000 Server» (Руководство по настройке параметров безопасности для Windows 2000 Server) на веб-узле корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/downloads/details.aspx?FamilyID=f0b7b4ee-201a-4b40-a0d2-cdd9775aeff8
Для получения более полных сведений о последних обновлениях и безопасности Windows 2000 обратитесь на следующий веб-узел корпорации Майкрософт:
http://www.microsoft.com/technet/security/current.aspx
Кроме того, можно воспользоваться средством Microsoft Security Baseline Analyzer (MSBA). Дополнительные сведения об этом средстве см. на веб-узле корпорации Майкрософт по следующему адресу:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx

Выявление

На сегодняшний день зарегистрированы случаи подобных атак лишь тех систем, на которых установлен Microsoft Windows 2000 Server. Корпорация Майкрософт рекомендует произвести сканирование рабочей среды Windows 2000 Server с целью выявления файлов, перечисленных в разделе «Технические подробности» данной статьи. Так как некоторые из этих файлов могли быть установлены вполне законно, необходимо исследовать такие файлы для выявления их использования и назначения.

Восстановление

Обратитесь за помощью в службу технической поддержки Майкрософт любым удобным вам способом. Информацию о том, как связаться со службой технической поддержки Майкрософт, см. на веб-узле Майкрософт по следующему адресу:
http://support.microsoft.com/

Временное решение

Предупреждение. Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

Чтобы устранить эту проблему, необходимо переименовать отдельные файлы, а затем внести изменения в реестр. Для этого выполните следующие действия.

Примечание. Приведенное ниже решение является временным. Оно позволит устранить последствия лишь первоначального заражения, но не распространяется на любые дополнительные вирусы, которые могли проникнуть в компьютер после того, как он был инфицирован впервые. Рекомендуется восстановить операционную систему, используя для этого надежную резервную копию, которая была сделана до того, как компьютер был инфицирован. Кроме того, можно отформатировать жесткий диск, переустановить операционную систему и восстановить отсутствующие данные, используя надежную резервную копию.
  1. На компьютере под управлением Windows 2000 щелкните правой кнопкой мыши панель задач и выберите пункт Диспетчер задач.
  2. В диспетчере задач выберите Taskmngr.exe и нажмите кнопку Завершить процесс.

    Примечание. Удостоверьтесь, что вместо Taskmngr.exe не выбран Taskmgr.exe
  3. Закройте диспетчер задач.
  4. Найдите папку \WINNT\System32, используя проводник Windows. Переименуйте следующие файлы в папке \WINNT\System32, добавив .bak в конце имени файла.

    Примечание. Некоторые из этих файлов могут отсутствовать в папке \WINNT\System32.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.hlp
    • Xvpll.hlp
    • Dll32.hlp
    • Httpsearch.ini
    • Mdm.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • Gg.bat
    • Ocxdll.exe
    Примечание. Чтобы переименовать эти файлы, выполните следующие действия:
    1. В папке \WINNT\System32 щелкните правой кнопкой мыши название файла в списке, выберите пункт Переименовать, введите .bak в конце имени файла, после чего нажмите клавишу Ввод.

      Например, файл Nt32.ini может быть переименован в Nt32.ini.bak.
    2. Повторите шаг а) для каждого файла в списке.
  5. Нажмите кнопку Пуск, выберите команду Выполнить, введите в командную строку regedit и нажмите кнопку ОК.
  6. В редакторе реестра найдите следующий раздел:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. Выберите параметр Rundll32, который ссылается на Taskmngr.exe в следующем разделе реестра, после чего нажмите Удалить:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. Если вирусом MIRC «Троянский конь» заражен контроллер домена Windows 2000, используя проводник Windows, найдите файл GmpTpl.inf, расположенный в следующей папке контроллера домена Windows 2000:
    \WINNT\SYSVOL\sysvol\DomainName\Policies\{GUID}\MACHINE\Microsoft\Windows NT\SecEdit
    Примечание. В данном случае имя папки DomainName является именем домена Windows 2000.
  9. Сравните файл GmpTpl.inf с надежной копией файла GmpTpl.inf. Можно восстановить надежную копию файла GmpTpl.inf, используя для этого надежную резервную копию, или используя другой контроллер домена Windows 2000.

    Примечание. Вирус MIRC «Троянский конь» может изменять или добавлять параметр SeNetworkLogonRight, который содержится в файле GmpTpl.inf.

Выполнив эти действия, рекомендуется запустить антивирусное программное обеспечение с последней версией баз данных о вирусах, для выявления и удаления вируса MIRC «Троянский конь». После этого отформатируйте и переустановите сервер при первой же подходящей возможности. Настоятельно рекомендуем выполнить эту процедуру, так как сервер был подвержен атаке.

Свойства

Код статьи: 328691 - Последний отзыв: 2 декабря 2005 г. - Revision: 4.1
Информация в данной статье применима к:
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
  • Операционная система Microsoft Windows 2000 Professional
Ключевые слова: 
kbenv kbinfo kbsechack KB328691

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com