MIRC Truva at�yla ilgili sald�r� alg�lama veya onar�m

G�NCELLE�T�RME: 6 Eyl�l 2002 itibariyle, bu makalenin �zetledi�i belirli deseni izleyen k�t� ama�l� etkinliklerin raporlar� �nemli �l��de azalm��t�r. Microsoft �r�n Destek Hizmetleri G�venlik Ekibi, bu bilgiyi yans�tmak ve alg�lama ve onar�m �l��tlerine y�nelik �neriler geli�tirmek i�in Microsoft Bilgi Bankas�'n�n bu makalesini de�i�tirmi�tir.

Microsoft, Microsoft Windows 2000 tabanl� sunuculara kod y�klemeye �al��an k�t� ama�l� bir etkinlikte art�� saptam��t�r. Bu etkinlik genellikle, Backdoor.IRC.Flood olarak tan�mlanan bir programla ili�kilidir.

Microsoft, g�venli�i a��lan bilgisayarlar� ��z�mleyerek, bu sald�r�lar�n �r�nle ilgili yeni bir g�venlik a����ndan yararlan�yor gibi g�r�nmedi�ini ve yap� olarak vir�s veya solucana benzemedi�ini belirlemi�tir. Bunun yerine sald�r�lar, standart �nlemlerin, "�nleme" b�l�m�nde ayr�nt�l� olarak a��klanan bi�imde al�nmad��� durumlardan yararlanmaya �al��maktad�r. Bu etkinlik, Windows 2000 tabanl� sunucular�n g�venli�ini a�maya y�nelik bir dizi e�g�d�ml� ba��ms�z giri�imle ili�kili g�r�nmektedir. Sonu� olarak, ba�ar�l� olan g�venlik a�ma giri�imleri, ay�rt edilebilir bir desen b�rak�r. Bu makale, bu desene g�re ba�ar�l� bir g�venlik a�ma giri�imine kan�t sa�layacak dosyalar� ve programlar� listeleyerek, a�a��daki eylemleri uygun �ekilde ger�ekle�tirmenizi sa�lar:

• G�venli�i a��lan bilgisayarlar�n alg�lanmas�.
• G�venli�i a��lan bilgisayarlar�n onar�lmas� ve kurtar�lmas�.

Sald�r�n�n Etkisi

Sunucu G�venli�inin A��lmas�

Belirtiler

G�venli�i a��lan sistemler a�a��daki belirtilerden bir veya daha fazlas�n� g�sterir:

• Vir�sten koruma yaz�l�m�, Backdoor.IRC.Flood ve t�revleri gibi Truva atlar� alg�lad���n� belirtebilir. G�ncel vir�sten koruma �r�nleri (g�ncel imza dosyalar�n� kullanan) bu Truva atlar�n� alg�lar.
• G�venli�i a��lan bilgisayar bir etki alan� denetleyicisiyse, g�venlik ilkesi de�i�tirilir. De�i�tirilmi� g�venlik ilkesinin baz� olas� etkileri �unlard�r:
  • �nceden devre d��� b�rak�lm�� guest hesaplar� yeniden etkinle�tiriliyor.
  • B�y�k olas�l�kla y�netimsel ayr�cal�klara sahip olan yeni yetkisiz hesaplar olu�turuluyor.
  • G�venlik izinleri, sunucularda veya Active Directory'de de�i�tiriliyor.
  • Kullan�c�lar i� istasyonlar�ndan etki alan�nda oturum a�am�yor.
  • Kullan�c�lar, Active Directory ek bile�enlerini Microsoft Y�netim Konsolu'nda (MMC) a�am�yor.
  • Bir y�netici, Active Directory Siteleri veya Hizmetleri ek bile�enini a�maya �al��t���nda a�a��daki hata iletisini al�yorsunuz:
    Adland�rma bilgileri bulunam�yor, nedeni: Sunucu �al���r durumda de�il. Etki alan�n�z�n d�zg�n yap�land�r�ld���n� ve �u anda �evrimi�i oldu�unu do�rulamak i�in sistem y�neticinize ba�vurun.
  • Hata g�nl�kleri, kilitlenmi� olan me�ru kullan�c�lar�n birden �ok ba�ar�s�z oturum a�ma giri�imini g�r�nt�l�yor.
  • DCDIAG'yi bir etki alan� denetleyicisinde �al��t�rmay� denedi�inizde, a�a��daki hata iletilerinden birini veya daha fazlas�n� alabilirsiniz:
    �lk kurulum ger�ekle�tiriliyor: [sic1] LDAP ba�lamas� 31 hatas�yla ba�ar�s�z oldu, sisteme ba�l� bir ayg�t �al��m�yor.
    �lk kurulum ger�ekle�tiriliyor: [SunucuAd�] LDAP ba�lamas� 1323 hatas�yla ba�ar�s�z oldu, parola g�ncelle�tirilemiyor. Ge�erli parola olarak sa�lanan de�er hatal�. ***Hata: Kimlik bilgilerinin hatal� olmas� nedeniyle makine, DC'ye ba�lanam�yor. Kimlik bilgilerinizi denetleyin veya kimlik bilgilerinizi /u:<etkialan�>\<kullan�c�> & /p:[<parola>|*|""] ile belirtin.
    Not Bu hata iletisindeki SunucuAd�, etki alan� denetleyicisinin ad�d�r.

Ayr�ca, sistem durumunu vir�sl� bilgisayarda yedeklemeye �al��t���n�zda, yedeklemeyi ger�ekle�tirdi�iniz bilgisayardaki Uygulama g�nl���nde a�a��daki hata iletileri g�r�nt�lenebilir:Not Bu hata iletisinde BilgisayarAd�, bilgisayar�n a� temel giri�/��k�� sistemi (NetBIOS) ad�d�r.

Teknik Ayr�nt�lar

Bilgisayar�n g�venli�i a��lm��sa, vir�sten koruma yaz�l�m�, Backdoor.IRC.Flood ve t�revleri gibi k�t� ama�l� kodlar alg�layabilir. Daha fazla bilgi i�in, vir�sten koruma yaz�l�m� sat�c�n�za ba�vurun.

Microsoft'un inceledi�i durumlarda, g�venli�i a��lan sunucular�n a�a��daki dosya ve programlara sahip olduklar� belirlenmi�tir. Bu dosyalar�n varl���, sistemin g�venli�inin a��ld���n� g�stermektedir. Bilgisayar�n�zda bu dosyalar veya programlar bulunuyorsa ve sizin taraf�n�zdan veya bilginiz dahilinde y�klenmemi�se, g�ncel bir vir�s tarama program�yla tam bir vir�s taramas� �al��t�r�n.

Not Farkl�l�k g�sterebilece�i i�in, bu dosyalar�n yollar� listelenmemi�tir.

• Gg.bat: Gg.bat di�er sunuculara "administrator", "admin" veya "root" olarak ba�lanmaya �al���r, sunucu �zerinde Flashfxp ve Ws_ftp programlar�n� arar, sunucuya birka� dosya (Ocxdll.exe dahil) kopyalar ve ard�ndan uzak sunucuda komut y�r�tmek i�in Psexec program�n� kullan�r.
• Seced.bat: Seced.bat g�venlik ilkesini de�i�tirir.
• Nt32.ini
• Ocxdll.exe
• Gates.txt
• Task32.exe

Di�er durumlarda, sald�rganlar taraf�ndan, g�venli�in a��lmas�na yard�mc� olmalar� i�in yasal programlar y�klenmi�tir. Bu programlar sisteminizde bulunuyorsa ve onlar� siz y�klemediyseniz, bu durum g�venli�in a��ld���n� g�sterebilir ve bu nedenle daha fazla ara�t�rma yapman�z gerekir.

• Psexec
• Ws_ftp
• Flashfxp

Bu sald�r�larla ili�kili son dosya k�mesi, sistemlere d�zenli aral�klarla y�klenen, ancak Truva at� bula�m�� s�r�mleri sald�r�n�n bir par�as� olarak y�klenen bir �ift yasal sistem dosyas�d�r. G�ncel vir�s imzalar�yla birlikte kullan�ld���nda, �o�u vir�sten koruma yaz�l�m� sat�c�s�n�n �r�nleri, varsa, bu dosyalar�n truva at� bula�m�� s�r�mlerini alg�layacakt�r.

• MDM.exe
• Taskmngr.exe

Sald�r� Vekt�rleri

G�ncel inceleme, sald�rganlar�n sistemlere zay�f veya bo� y�netici parolalar�yla giri� yapm�� olduklar�n� g�steriyor. Microsoft'un, sald�r�larda �imdiye kadar bilinmeyen g�venlik a��klar�n�n kullan�ld���n� s�ylemek i�in kan�t� bulunmamaktad�r.

�nleme

Microsoft, m��terilerine a�a��da �rnekleri verilen, standart g�venlik ile ilgili en iyi uygulamalar� izlediklerinden emin olarak, sunucular�n� bu sald�r�ya ve di�erlerine kar�� korumalar�n� �nerir:

• Bo� veya zay�f y�netici parolalar�n� ortadan kald�rmak.
• Guest hesab�n� devre d��� b�rakmak.
• Ge�erli vir�sten koruma yaz�l�m�n� g�ncel vir�s imza tan�mlar�yla birlikte �al��t�rmak.
• Etki alan� denetleyicilerini de i�eren i� sunucular� korumak i�in g�venlik duvarlar� kullanmak.
• T�m g�venlik d�zeltme eklerinde g�ncel olan� takip etmek.

Microsoft Windows 2000 tabanl� sunucular� kurallara uygun bir �ekilde yap�land�rmaya y�nelik en iyi uygulamalar hakk�nda yard�m i�in, Windows 2000 Server i�in Security Operations Guide'a (G�venlik ��letme K�lavuzu) bak�n. Bu k�lavuzu g�rmek i�in, a�a��daki Microsoft Web sitesini ziyaret edin: Windows 2000 Server'� d�zeltme ekleri y�kl� ve g�venli tutmak i�in, a�a��daki Microsoft Web sitesini ziyaret edin: Di�er bir se�enek olarak, Microsoft Baseline Security Analyzer'� kullanabilirsiniz. Microsoft Baseline Security Analyzer hakk�nda daha fazla bilgi i�in, a�a��daki Microsoft Web sitesini ziyaret edin:

Alg�lama

Bug�ne kadar bu sald�r�dan etkilendi�i bildirilen sistemler yaln�zca Microsoft Windows 2000 Server �al��t�ran sistemler olmu�tur. Microsoft, m��terilerine, bu makalenin "Teknik Ayr�nt�lar" b�l�m�nde listelenen dosyalar�n bulunup bulunmad���n� belirlemeleri i�in Windows 2000 Server tabanl� ortamlar�n� taramalar�n� �nerir. Dosyalar�n baz�lar� me�ru olarak y�klenmi� olabilece�inden, m��teriler, kullan�mlar�n� ve ama�lar�n� belirlemek amac�yla dosyalar� incelemelidir.

Kurtarma

Kurtarma konusunda yard�m i�in, tercih etti�iniz y�ntemi kullanarak Microsoft �r�n Destek Hizmetleri'ne ba�vurun. Microsoft �r�n Destek Hizmetleri'ne ba�vurma y�ntemleri hakk�nda daha fazla bilgi i�in, a�a��daki Microsoft Web sitesini ziyaret edin:

Uyar� Kay�t Defteri D�zenleyicisi'ni yanl�� kullan�rsan�z, i�letim sisteminizi yeniden y�klemenizi gerektirebilecek �nemli sorunlara neden olabilirsiniz. Microsoft, Kay�t Defteri D�zenleyicisi'nin yanl�� kullan�m� sonucunda ortaya ��kan sorunlar� ��zebilece�iniz konusunda garanti vermez. Kay�t Defteri D�zenleyicisi�ni kullanmak kendi sorumlulu�unuzdad�r.

Bu sorunu ge�ici olarak gidermek i�in, belirli dosyalar� yeniden adland�rman�z ve ard�ndan kay�t defterini de�i�tirmeniz gerekir. Bunu yapmak i�in a�a��daki ad�mlar� izleyin.

Not A�a��daki ad�mlar yaln�zca ge�ici bir ��z�m sa�lar. Bu ad�mlar yaln�zca ilk bula�man�n etkilerini ortadan kald�r�r. Bu ad�mlar, bilgisayara ikinci ve ���nc� bula�malarda gelen ek vir�sleri ortadan kald�rmaz. ��letim sistemini, bilgisayara vir�s bula�madan �nceki bir tarihteki bilinen iyi bir noktaya ait do�rulanm�� yedekleme ortam�n� kullanarak geri y�klemenizi �neririz. Ayr�ca sabit disk s�r�c�n�z� bi�imlendirebilir, i�letim sistemini yeniden y�kleyebilir ve ard�ndan eksik verileri, bilinen iyi bir noktaya ait do�rulanm�� yedekleme ortam�n� kullanarak geri y�kleyebilirsiniz.

1. Windows 2000 tabanl� bir bilgisayarda g�rev �ubu�unu sa� t�klat�n ve ard�ndan G�rev Y�neticisi'ni t�klat�n.
2. G�rev Y�neticisi'nde Taskmngr.exe'yi se�in ve ard�ndan Sonland�r'� t�klat�n.
   
   NotTaskmgr.exe'yi de�il, Taskmngr.exe'yi se�ti�inizden emin olun.
3. G�rev Y�neticisi'ni kapat�n.
4. Microsoft Windows Explorer kullanarak, \WINNT\System32 klas�r�n� bulun. \WINNT\System32 klas�r�n�n i�erdi�i a�a��daki dosyalar�, dosya ad�n�n sonuna .bak yazarak yeniden adland�r�n.
   
   Not \WINNT\System32 klas�r� bu dosyalardan baz�lar�n� i�ermeyebilir.
   • Nt32.ini
   • Nt16.ini
   • Dll32nt.hlp
   • Xvpll.hlp
   • Dll32.hlp
   • Httpsearch.ini
   • Mdm.scr
   • Gates.txt
   • Taskmngr.exe
   • Secedit.sdb
   • Seced.bat
   • Ocx.dll
   • Dll16.ini
   • Gg.bat
   • Ocxdll.exe
   Not Bu dosyalar� yeniden adland�rmak i�in a�a��daki ad�mlar� izleyin:
   1. \WINNT\System32 klas�r�nde, listedeki herhangi bir dosyay� sa� t�klat�n, Yeniden Adland�r'� t�klat�n, dosya ad�n�n sonuna .bak yaz�n ve ard�ndan Enter tu�una bas�n.
      
      �rne�in Nt32.ini'yi Nt32.ini.bak olarak yeniden adland�rabilirsiniz.
   2. Ad�m� listedeki her dosya i�in tekrarlay�n.
5. Ba�lat'� t�klat�n, �al��t�r'� t�klat�n, regedit yaz�n ve Tamam'� t�klat�n.
6. Kay�t Defteri D�zenleyicisi'nde, a�a��daki kay�t defteri alt anahtar�n� bulun:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
7. A�a��daki kay�t defteri alt anahtar�nda Taskmngr.exe'ye ba�vuran Rundll32 de�erini t�klat�n ve ard�ndan Sil'i t�klat�n:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
8. MIRC Truva at� bula�m�� bir Windows 2000 etki alan� denetleyicisine sahipseniz, Windows Explorer kullanarak, Windows 2000 etki alan� denetleyicisinde bulunan a�a��daki klas�r�n i�erdi�i GmpTpl. dosyas�n� bulun.
   \WINNT\SYSVOL\sysvol\EtkiAlan�Ad�\Policies\{GUID}\MACHINE\Microsoft\Windows NT\SecEdit
   Not Bu klas�r ad�ndaki EtkiAlan�Ad�, Windows 2000 etki alan�n�n ad�d�r.
9. GmpTpl.inf dosyas�n�, GmpTpl.inf dosyas�n�n bilinen iyi bir kopyas�yla kar��la�t�r�n. GmpTpl.inf dosyas�n�n bilinen iyi bir kopyas�n�, bilinen iyi bir noktaya ait do�rulanm�� yedekleme ortam�n� kullanarak veya bir di�er Windows 2000 etki alan� denetleyicisini kullanarak geri y�kleyebilirsiniz.
   
   Not MIRC Truva at� vir�s� de�i�ebilir veya GmpTpl.inf dosyas�n�n i�erdi�i SeNetworkLogonRight de�erini ekleyebilir.

Bu ad�mlar� tamamlad�ktan sonra, MIRC Truva vir�s�n� alg�lamas� ve ortadan kald�rmas� i�in, en son vir�s tan�mlar�n� i�eren bir vir�sten koruma yaz�l�m� kullanman�z� �neririz. Sonra, sunucuyu sizin i�in uygun olan en k�sa s�rede bi�imlendirin ve yeniden y�kleyin. Sunucunun g�venli�i a��lm�� oldu�u i�in bu i�lemi �neririz.