MIRC Truva atıyla ilgili saldırı algılama veya onarım

Makale çevirileri Makale çevirileri
Makale numarası: 328691 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

™zet

GÜNCELLEŞTİRME: 6 Eylül 2002 itibariyle, bu makalenin özetlediği belirli deseni izleyen kötü amaçlı etkinliklerin raporları önemli ölçüde azalmıştır. Microsoft Ürün Destek Hizmetleri Güvenlik Ekibi, bu bilgiyi yansıtmak ve algılama ve onarım ölçütlerine yönelik öneriler geliştirmek için Microsoft Bilgi Bankası'nın bu makalesini değiştirmiştir.

Microsoft, Microsoft Windows 2000 tabanlı sunuculara kod yüklemeye çalışan kötü amaçlı bir etkinlikte artış saptamıştır. Bu etkinlik genellikle, Backdoor.IRC.Flood olarak tanımlanan bir programla ilişkilidir.

Microsoft, güvenliği aşılan bilgisayarları çözümleyerek, bu saldırıların ürünle ilgili yeni bir güvenlik açığından yararlanıyor gibi görünmediğini ve yapı olarak virüs veya solucana benzemediğini belirlemiştir. Bunun yerine saldırılar, standart önlemlerin, "Önleme" bölümünde ayrıntılı olarak açıklanan biçimde alınmadığı durumlardan yararlanmaya çalışmaktadır. Bu etkinlik, Windows 2000 tabanlı sunucuların güvenliğini aşmaya yönelik bir dizi eşgüdümlü bağımsız girişimle ilişkili görünmektedir. Sonuç olarak, başarılı olan güvenlik aşma girişimleri, ayırt edilebilir bir desen bırakır. Bu makale, bu desene göre başarılı bir güvenlik aşma girişimine kanıt sağlayacak dosyaları ve programları listeleyerek, aşağıdaki eylemleri uygun şekilde gerçekleştirmenizi sağlar:
  • Güvenliği aşılan bilgisayarların algılanması.
  • Güvenliği aşılan bilgisayarların onarılması ve kurtarılması.

Daha fazla bilgi

Saldırının Etkisi

Sunucu Güvenliğinin Aşılması

Belirtiler

Güvenliği aşılan sistemler aşağıdaki belirtilerden bir veya daha fazlasını gösterir:
  • Virüsten koruma yazılımı, Backdoor.IRC.Flood ve türevleri gibi Truva atları algıladığını belirtebilir. Güncel virüsten koruma ürünleri (güncel imza dosyalarını kullanan) bu Truva atlarını algılar.
  • Güvenliği aşılan bilgisayar bir etki alanı denetleyicisiyse, güvenlik ilkesi değiştirilir. Değiştirilmiş güvenlik ilkesinin bazı olası etkileri şunlardır:
    • Önceden devre dışı bırakılmış guest hesapları yeniden etkinleştiriliyor.
    • Büyük olasılıkla yönetimsel ayrıcalıklara sahip olan yeni yetkisiz hesaplar oluşturuluyor.
    • Güvenlik izinleri, sunucularda veya Active Directory'de değiştiriliyor.
    • Kullanıcılar iş istasyonlarından etki alanında oturum açamıyor.
    • Kullanıcılar, Active Directory ek bileşenlerini Microsoft Yönetim Konsolu'nda (MMC) açamıyor.
    • Bir yönetici, Active Directory Siteleri veya Hizmetleri ek bileşenini açmaya çalıştığında aşağıdaki hata iletisini alıyorsunuz:
      Adlandırma bilgileri bulunamıyor, nedeni: Sunucu çalışır durumda değil. Etki alanınızın düzgün yapılandırıldığını ve şu anda çevrimiçi olduğunu doğrulamak için sistem yöneticinize başvurun.
    • Hata günlükleri, kilitlenmiş olan meşru kullanıcıların birden çok başarısız oturum açma girişimini görüntülüyor.
    • DCDIAG'yi bir etki alanı denetleyicisinde çalıştırmayı denediğinizde, aşağıdaki hata iletilerinden birini veya daha fazlasını alabilirsiniz:
      İlk kurulum gerçekleştiriliyor: [sic1] LDAP bağlaması 31 hatasıyla başarısız oldu, sisteme bağlı bir aygıt çalışmıyor.
      İlk kurulum gerçekleştiriliyor: [SunucuAdı] LDAP bağlaması 1323 hatasıyla başarısız oldu, parola güncelleştirilemiyor. Geçerli parola olarak sağlanan değer hatalı. ***Hata: Kimlik bilgilerinin hatalı olması nedeniyle makine, DC'ye bağlanamıyor. Kimlik bilgilerinizi denetleyin veya kimlik bilgilerinizi /u:<etkialanı>\<kullanıcı> & /p:[<parola>|*|""] ile belirtin.
      Not Bu hata iletisindeki SunucuAdı, etki alanı denetleyicisinin adıdır.
Ayrıca, sistem durumunu virüslü bilgisayarda yedeklemeye çalıştığınızda, yedeklemeyi gerçekleştirdiğiniz bilgisayardaki Uygulama günlüğünde aşağıdaki hata iletileri görüntülenebilir:
Olay Kimliği: 8012
Kaynak: NTBackup
Açıklama:
'Active Directory', 'BackupPrepare()' ek verisinden yapılan bir çağrıya 'Sisteme bağlı bir aygıt çalışmıyor.' hatası veriyor '\\BilgisayarAdı'.
Not Bu hata iletisinde BilgisayarAdı, bilgisayarın ağ temel giriş/çıkış sistemi (NetBIOS) adıdır.
Olay Kimliği: 1000
Kaynak: Userenv
Açıklama:
Windows kullanıcı veya bilgisayar adını belirleyemiyor. Dönüş değeri (1326)

Teknik Ayrıntılar

Bilgisayarın güvenliği aşılmışsa, virüsten koruma yazılımı, Backdoor.IRC.Flood ve türevleri gibi kötü amaçlı kodlar algılayabilir. Daha fazla bilgi için, virüsten koruma yazılımı satıcınıza başvurun.

Microsoft'un incelediği durumlarda, güvenliği aşılan sunucuların aşağıdaki dosya ve programlara sahip oldukları belirlenmiştir. Bu dosyaların varlığı, sistemin güvenliğinin aşıldığını göstermektedir. Bilgisayarınızda bu dosyalar veya programlar bulunuyorsa ve sizin tarafınızdan veya bilginiz dahilinde yüklenmemişse, güncel bir virüs tarama programıyla tam bir virüs taraması çalıştırın.

Not Farklılık gösterebileceği için, bu dosyaların yolları listelenmemiştir.
  • Gg.bat: Gg.bat diğer sunuculara "administrator", "admin" veya "root" olarak bağlanmaya çalışır, sunucu üzerinde Flashfxp ve Ws_ftp programlarını arar, sunucuya birkaç dosya (Ocxdll.exe dahil) kopyalar ve ardından uzak sunucuda komut yürütmek için Psexec programını kullanır.
  • Seced.bat: Seced.bat güvenlik ilkesini değiştirir.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
Diğer durumlarda, saldırganlar tarafından, güvenliğin aşılmasına yardımcı olmaları için yasal programlar yüklenmiştir. Bu programlar sisteminizde bulunuyorsa ve onları siz yüklemediyseniz, bu durum güvenliğin aşıldığını gösterebilir ve bu nedenle daha fazla araştırma yapmanız gerekir.
  • Psexec
  • Ws_ftp
  • Flashfxp
Bu saldırılarla ilişkili son dosya kümesi, sistemlere düzenli aralıklarla yüklenen, ancak Truva atı bulaşmış sürümleri saldırının bir parçası olarak yüklenen bir çift yasal sistem dosyasıdır. Güncel virüs imzalarıyla birlikte kullanıldığında, çoğu virüsten koruma yazılımı satıcısının ürünleri, varsa, bu dosyaların truva atı bulaşmış sürümlerini algılayacaktır.
  • MDM.exe
  • Taskmngr.exe

Saldırı Vektörleri

Güncel inceleme, saldırganların sistemlere zayıf veya boş yönetici parolalarıyla giriş yapmış olduklarını gösteriyor. Microsoft'un, saldırılarda şimdiye kadar bilinmeyen güvenlik açıklarının kullanıldığını söylemek için kanıtı bulunmamaktadır.

Önleme

Microsoft, müşterilerine aşağıda örnekleri verilen, standart güvenlik ile ilgili en iyi uygulamaları izlediklerinden emin olarak, sunucularını bu saldırıya ve diğerlerine karşı korumalarını önerir:
  • Boş veya zayıf yönetici parolalarını ortadan kaldırmak.
  • Guest hesabını devre dışı bırakmak.
  • Geçerli virüsten koruma yazılımını güncel virüs imza tanımlarıyla birlikte çalıştırmak.
  • Etki alanı denetleyicilerini de içeren iç sunucuları korumak için güvenlik duvarları kullanmak.
  • Tüm güvenlik düzeltme eklerinde güncel olanı takip etmek.
Microsoft Windows 2000 tabanlı sunucuları kurallara uygun bir şekilde yapılandırmaya yönelik en iyi uygulamalar hakkında yardım için, Windows 2000 Server için Security Operations Guide'a (Güvenlik İşletme Kılavuzu) bakın. Bu kılavuzu görmek için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/downloads/details.aspx?FamilyID=f0b7b4ee-201a-4b40-a0d2-cdd9775aeff8
Windows 2000 Server'ı düzeltme ekleri yüklü ve güvenli tutmak için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/technet/security/current.aspx
Diğer bir seçenek olarak, Microsoft Baseline Security Analyzer'ı kullanabilirsiniz. Microsoft Baseline Security Analyzer hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/technet/security/tools/mbsahome.mspx

Algılama

Bugüne kadar bu saldırıdan etkilendiği bildirilen sistemler yalnızca Microsoft Windows 2000 Server çalıştıran sistemler olmuştur. Microsoft, müşterilerine, bu makalenin "Teknik Ayrıntılar" bölümünde listelenen dosyaların bulunup bulunmadığını belirlemeleri için Windows 2000 Server tabanlı ortamlarını taramalarını önerir. Dosyaların bazıları meşru olarak yüklenmiş olabileceğinden, müşteriler, kullanımlarını ve amaçlarını belirlemek amacıyla dosyaları incelemelidir.

Kurtarma

Kurtarma konusunda yardım için, tercih ettiğiniz yöntemi kullanarak Microsoft Ürün Destek Hizmetleri'ne başvurun. Microsoft Ürün Destek Hizmetleri'ne başvurma yöntemleri hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
http://support.microsoft.com/?LN=tr&x=11&y=14

ge‡ici ‡”zm

Uyarı Kayıt Defteri Düzenleyicisi'ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek önemli sorunlara neden olabilirsiniz. Microsoft, Kayıt Defteri Düzenleyicisi'nin yanlış kullanımı sonucunda ortaya çıkan sorunları çözebileceğiniz konusunda garanti vermez. Kayıt Defteri Düzenleyicisi’ni kullanmak kendi sorumluluğunuzdadır.

Bu sorunu geçici olarak gidermek için, belirli dosyaları yeniden adlandırmanız ve ardından kayıt defterini değiştirmeniz gerekir. Bunu yapmak için aşağıdaki adımları izleyin.

Not Aşağıdaki adımlar yalnızca geçici bir çözüm sağlar. Bu adımlar yalnızca ilk bulaşmanın etkilerini ortadan kaldırır. Bu adımlar, bilgisayara ikinci ve üçüncü bulaşmalarda gelen ek virüsleri ortadan kaldırmaz. İşletim sistemini, bilgisayara virüs bulaşmadan önceki bir tarihteki bilinen iyi bir noktaya ait doğrulanmış yedekleme ortamını kullanarak geri yüklemenizi öneririz. Ayrıca sabit disk sürücünüzü biçimlendirebilir, işletim sistemini yeniden yükleyebilir ve ardından eksik verileri, bilinen iyi bir noktaya ait doğrulanmış yedekleme ortamını kullanarak geri yükleyebilirsiniz.
  1. Windows 2000 tabanlı bir bilgisayarda görev çubuğunu sağ tıklatın ve ardından Görev Yöneticisi'ni tıklatın.
  2. Görev Yöneticisi'nde Taskmngr.exe'yi seçin ve ardından Sonlandır'ı tıklatın.

    NotTaskmgr.exe'yi değil, Taskmngr.exe'yi seçtiğinizden emin olun.
  3. Görev Yöneticisi'ni kapatın.
  4. Microsoft Windows Explorer kullanarak, \WINNT\System32 klasörünü bulun. \WINNT\System32 klasörünün içerdiği aşağıdaki dosyaları, dosya adının sonuna .bak yazarak yeniden adlandırın.

    Not \WINNT\System32 klasörü bu dosyalardan bazılarını içermeyebilir.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.hlp
    • Xvpll.hlp
    • Dll32.hlp
    • Httpsearch.ini
    • Mdm.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • Gg.bat
    • Ocxdll.exe
    Not Bu dosyaları yeniden adlandırmak için aşağıdaki adımları izleyin:
    1. \WINNT\System32 klasöründe, listedeki herhangi bir dosyayı sağ tıklatın, Yeniden Adlandır'ı tıklatın, dosya adının sonuna .bak yazın ve ardından Enter tuşuna basın.

      Örneğin Nt32.ini'yi Nt32.ini.bak olarak yeniden adlandırabilirsiniz.
    2. Adımı listedeki her dosya için tekrarlayın.
  5. Başlat'ı tıklatın, Çalıştır'ı tıklatın, regedit yazın ve Tamam'ı tıklatın.
  6. Kayıt Defteri Düzenleyicisi'nde, aşağıdaki kayıt defteri alt anahtarını bulun:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. Aşağıdaki kayıt defteri alt anahtarında Taskmngr.exe'ye başvuran Rundll32 değerini tıklatın ve ardından Sil'i tıklatın:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. MIRC Truva atı bulaşmış bir Windows 2000 etki alanı denetleyicisine sahipseniz, Windows Explorer kullanarak, Windows 2000 etki alanı denetleyicisinde bulunan aşağıdaki klasörün içerdiği GmpTpl. dosyasını bulun.
    \WINNT\SYSVOL\sysvol\EtkiAlanıAdı\Policies\{GUID}\MACHINE\Microsoft\Windows NT\SecEdit
    Not Bu klasör adındaki EtkiAlanıAdı, Windows 2000 etki alanının adıdır.
  9. GmpTpl.inf dosyasını, GmpTpl.inf dosyasının bilinen iyi bir kopyasıyla karşılaştırın. GmpTpl.inf dosyasının bilinen iyi bir kopyasını, bilinen iyi bir noktaya ait doğrulanmış yedekleme ortamını kullanarak veya bir diğer Windows 2000 etki alanı denetleyicisini kullanarak geri yükleyebilirsiniz.

    Not MIRC Truva atı virüsü değişebilir veya GmpTpl.inf dosyasının içerdiği SeNetworkLogonRight değerini ekleyebilir.

Bu adımları tamamladıktan sonra, MIRC Truva virüsünü algılaması ve ortadan kaldırması için, en son virüs tanımlarını içeren bir virüsten koruma yazılımı kullanmanızı öneririz. Sonra, sunucuyu sizin için uygun olan en kısa sürede biçimlendirin ve yeniden yükleyin. Sunucunun güvenliği aşılmış olduğu için bu işlemi öneririz.

Özellikler

Makale numarası: 328691 - Last Review: 8 Mart 2006 Çarşamba - Gözden geçirme: 4.1
Bu makaledeki bilginin uygulandigi durum:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Anahtar Kelimeler: 
kbenv kbinfo kbsechack KB328691

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com