MIRC Trojan liên quan đ?n t?n công phát hi?n và s?a ch?a

ID c?a bài: 328691 - Xem s?n ph?m mà bài này áp d?ng vào.
Máy d?chThông báo: bài vi?t này là bài đư?c d?ch b?i Máy d?ch
Chú ?
Bài vi?t này áp d?ng cho Windows 2000. H? tr? cho Windows 2000 k?t thúc vào ngày 13 tháng 7 năm 2010. Các Trung tâm gi?i pháp cu?i cùng h? tr? Windows 2000
(http://support.microsoft.com/win2000)
là m?t đi?m kh?i đ?u đ? l?p k? ho?ch chi?n lư?c c?a b?n di chuy?n t? Windows 2000. Đ? bi?t thêm thông tin xem các Chính sách v?ng đ?i h? tr? c?a Microsoft
(http://support.microsoft.com/lifecycle/)
.
Bung t?t c? | Thu g?n t?t c?

? Trang này

TÓM T?T

C?P NH?T: Theo s? 6 tháng 9 năm 2002, báo cáo v? ho?t đ?ng đ?c h?i mà theo các mô h?nh c? th? đư?c v?ch ra trong bài vi?t này đ? gi?m đi m?t cách đáng k?. Nhóm b?o m?t Microsoft s?n ph?m h? tr? d?ch v? có l?n này bài vi?t cơ s? ki?n th?c Microsoft đ? ph?n ánh thông tin này và đ? tinh ch?nh các đ? xu?t cho phát hi?n và s?a ch?a các tiêu chí.

Microsoft có đi?u tra s? gia tăng trong ho?t đ?ng đ?c h?i mà c? g?ng đ? n?p m? trên Microsoft Windows 2000 d?a trên máy ch?. Ho?t đ?ng này đư?c liên k?t thư?ng v?i chương tr?nh đ? đư?c xác đ?nh là Backdoor.IRC.Flood.

B?i phân tích các máy tính đ? b? t?n h?i, Microsoft đ? xác đ?nh r?ng các cu?c t?n công không xu?t hi?n đ? khai thác b?t k? b?o m?t liên quan đ?n s?n ph?m m?i l? h?ng và dư?ng như không có virus ho?c sâu như trong t? nhiên. Thay vào đó, các cu?c t?n công t?m cách đ? t?n d?ng l?i th? c?a các t?nh hu?ng nơi tiêu chu?n bi?n pháp ph?ng ng?a đ? không đư?c th?c hi?n chi ti?t trong ph?n "Ph?ng ng?a". Các ho?t đ?ng xu?t hi?n đ? đư?c k?t h?p v?i m?t lo?t ph?i h?p các n? l?c cá nhân đ? th?a hi?p Windows 2000 d?a trên máy ch?. K?t qu? là, th?a hi?p thành công đ? l?i m?t mô h?nh đ?c bi?t. Bài này li?t kê t?p và chương tr?nh s? cung c?p b?ng ch?ng c?a m?t s? thành công theo đi?u này m?u đ? các b?n có th? có hành đ?ng thích h?p đ?:
  • Phát hi?n máy tính b? xâm ph?m.
  • S?a ch?a và ph?c h?i máy tính b? xâm ph?m.
Quay l?i đ?u trang | Cung cấp Phản hồi

THÔNG TIN THÊM

Tác đ?ng c?a cu?c t?n công

S? th?a hi?p c?a máy ch?

Hiện tượng

Th?a hi?p h? th?ng hi?n th? m?t ho?c nhi?u các tri?u ch?ng sau đây:
  • Ph?n m?m ch?ng vi-rút có th? ch? ra r?ng nó đ? phát hi?n Trojans, ch?ng h?n như Backdoor.IRC.Flood và các bi?n th? c?a nó. Hi?n t?i ch?ng virus s?n ph?m (có s? d?ng t?p tin ch? k? up-to-) phát hi?n các Trojans.
  • N?u máy tính b? xâm ph?m là đi?u khi?n vùng, các chính sách b?o m?t l?n. M?t s? hi?u ?ng có th? c?a m?t s?a đ?i chính sách b?o m?t là:
    • Trương m?c khách mà trư?c đây đ? vô hi?u hóa là tái kích ho?t.
    • Tài kho?n không đư?c phép m?i, có th? v?i hành chính đ?c quy?n, đư?c t?o ra.
    • C?p phép b?o m?t đư?c thay đ?i trên h? ph?c v? ho?c trong Thư m?c ho?t đ?ng.
    • Ngư?i dùng không th? đăng nh?p vào vùng t? các máy tr?m.
    • Ngư?i dùng không th? m? thư m?c ho?t đ?ng snap-in trong Microsoft Management Console (MMC).
    • Khi m?t qu?n tr? viên c? g?ng đ? m? các ho?t đ?ng Thư m?c các trang web và các d?ch v? bám-theo, b?n nh?n đư?c thông báo l?i sau:
      Đ?t tên thông tin không th? đư?c v? trí b?i v?: h? ph?c v? không ph?i là ho?t đ?ng. Liên h? v?i ngư?i qu?n tr? h? th?ng đ? xác minh r?ng b?n tên mi?n c?u h?nh đúng và là hi?n nay đang online.
    • Các b?n ghi l?i hi?n th? nhi?u n? l?c đăng nh?p th?t b?i t? h?p pháp ngư?i dùng đ? b? khóa ra ngoài.
    • Khi b?n c? g?ng ch?y DCDIAG trên b? ki?m soát mi?n, b?n có th? nh?n đư?c m?t ho?c nhi?u các thông báo l?i sau đây:
      Th?c hi?n các thi?t l?p ban đ?u: [sic1] ràng bu?c LDAP th?t b?i v?i l?i 31, m?t thi?t b? g?n vào h? th?ng không ho?t đ?ng.
      Th?c hi?n các thi?t l?p ban đ?u: [Tên máy chủ] Ràng bu?c LDAP th?t b?i v?i l?i 1323, không th? C?p Nh?t m?t kh?u. Giá tr? cung c?p như m?t kh?u hi?n th?i là không chính xác. *** L?i: Các máy tính không th? đính kèm theo các DC v? các ch?ng ch? là không đúng. Ki?m tra ?y nhi?m c?a b?n ho?c ch? đ?nh thông tin đăng nh?p v?i /u:<domain>\<user> & /p:[<password>|*|""]</password></user></domain>
      Chú ý Trong thông báo l?i này, Tên máy chủ là tên b? đi?u khi?n vùng.
Ngoài ra, khi b?n c? g?ng sao lưu tr?ng thái h? th?ng trên các b? nhi?m b?nh máy tính, các thông báo l?i sau đây có th? xu?t hi?n trong Nh?t k? ?ng d?ng trên các máy tính mà b?n đang th?c hi?n sao lưu:
ID s? ki?n: 8012
Ngu?n: NTBackup
Mô t?:
'Active Directory' tr? v? 'thi?t b? g?n vào h? th?ng không ho?t đ?ng.' t? m?t cu?c g?i đ?n D? li?u b? sung 'BackupPrepare()' '\\ComputerName'.
Chú ý Trong thông báo l?i này, ComputerName là tên cơ b?n đ?u vào/đ?u ra h? th?ng (NetBIOS) m?ng c?a máy tính.
ID s? ki?n: 1000
Ngu?n: Userenv
Mô t?:
Windows không th? xác đ?nh tên ngư?i dùng hay máy tính. Giá tr? tr? l?i (1326)

Chi ti?t k? thu?t

N?u máy tính đ? b? xâm ph?m, ph?n m?m ch?ng vi-rút có th? phát hi?n m? đ?c h?i như Backdoor.IRC.Flood và các bi?n th? c?a nó. Đ? bi?t thêm thông tin, liên h? v?i đ?i l? ch?ng vi-rút c?a b?n.

Trong trư?ng h?p đó Microsoft đ? phân tích, các máy ch? b? xâm ph?m đ? đư?c t?m th?y có các t?p tin sau đây và chương tr?nh. S? hi?n di?n c?a nh?ng t?p tin này ch? ra r?ng các h? th?ng đ? b? xâm ph?m. N?u các t?p ho?c chương tr?nh đang đư?c t?m th?y trên c?a b?n máy tính, và n?u h? không đư?c cài đ?t b?i b?n ho?c v?i ki?n th?c c?a b?n, ch?y m?t quét vi rút hoàn ch?nh v?i m?t virus up-to-date quét chương tr?nh.

Chú ý Đư?ng d?n đ?n các t?p tin không đư?c li?t kê b?i v? h? có th? khác nhau.
  • GG.bat: Gg.bat c? g?ng k?t n?i v?i các máy ch? khác như qu?n tr? viên, qu?n tr? ho?c ngư?i ch?, s? cho Flashfxp và các chương tr?nh Ws_ftp ngày h? ph?c v?, sao chép nhi?u t?p tin (bao g?m c? Ocxdll.exe) đ?n máy ch?, và sau đó s? d?ng chương tr?nh Psexec đ? th?c thi l?nh trên máy ch? t? xa.
  • Seced.bat: Seced.bat thay đ?i an ninh chính sách.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
Trong trư?ng h?p khác, các chương tr?nh h?p pháp đ? đư?c cài đ?t b?i các k? t?n công đ? h? tr? trong các th?a hi?p. N?u các chương tr?nh này đư?c t?m th?y trên c?a b?n h? th?ng, và n?u b?n không cài đ?t chúng, nó có th? cho th?y m?t s? th?a hi?p, và b?n nên đi?u tra thêm.
  • Psexec
  • Ws_ftp
  • FlashFXP
M?t t?p cu?i cùng c?a t?p tin có liên quan đ?n các cu?c t?n công m?t c?p t?p h? th?ng h?p pháp thư?ng đư?c cài đ?t trên h? th?ng, nhưng trojanized Phiên b?n đó đư?c cài đ?t như m?t ph?n c?a cu?c t?n công. H?u h?t các s?n ph?m nhà cung c?p ch?ng vi-rút, khi chúng đư?c s? d?ng k?t h?p v?i hi?n hành vi rút ch? k?, s? phát hi?n b?n trojanized c?a nh?ng t?p tin này n?u h? đang có hi?n nay.
  • MDM.exe
  • Taskmngr.exe

T?n công vectơ

Phân tích đ?n nay ch? ra r?ng nh?ng k? t?n công xu?t hi?n đ? có đ? đ?t đư?c m?c nh?p vào h? th?ng b?ng cách s? d?ng m?t kh?u qu?n tr? viên y?u ho?c tr?ng. Microsoft không có b?ng ch?ng cho th?y r?ng b?t k? an ninh trư?c đây không r? l? h?ng đ? đư?c s? d?ng trong các cu?c t?n công.

Công tác ph?ng ch?ng

Microsoft khuy?n cáo r?ng khách hàng b?o v? các máy ch? c?a h? ch?ng l?i Đi?u này và các cu?c t?n công b?ng cách đ?m b?o r?ng h? th?c hi?n theo tiêu chu?n b?o m?t t?t nh?t ««th?c hành, ch?ng h?n như:
  • Lo?i b? tr?ng ho?c y?u qu?n tr? m?t kh?u.
  • Vi?c t?t trương m?c khách.
  • Ch?y ph?n m?m ch?ng vi-rút hi?n t?i v?i up-to-virus đ?nh ngh?a ch? k?.
  • B?ng cách s? d?ng tư?ng l?a b?o v? máy ch? n?i b?, trong đó có b? đi?u khi?n vùng.
  • ? l?i đ?n nay trên t?t c? các b?n vá l?i b?o m?t.
Hư?ng d?n v? cách th?c t?t nh?t đ? prescriptively c?u h?nh Microsoft Windows 2000 d?a trên máy ch?, h?y xem hư?ng d?n các ho?t đ?ng an ninh cho Windows 2000 Server. Đ? xem hư?ng d?n này, ghé thăm Web site sau c?a Microsoft:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = f0b7b4ee-201a-4b40-a0d2-cdd9775aeff8
(http://www.microsoft.com/downloads/details.aspx?FamilyID=f0b7b4ee-201a-4b40-a0d2-cdd9775aeff8)
Đ? bi?t thêm thông tin v? làm th? nào đ? gi? Windows 2000 Server đ?p vá và an toàn, ghé thăm Web site sau c?a Microsoft:
http://www.Microsoft.com/technet/Security/Current.aspx
(http://www.microsoft.com/technet/security/current.aspx)
Ngoài ra, b?n có th? s? d?ng đư?ng cơ s? an ninh Microsoft Phân tích. Đ? bi?t thêm thông tin v? phân tích đư?ng cơ s? b?o m?t c?a Microsoft, ghé thăm Web site sau c?a Microsoft:
http://technet.Microsoft.com/en-US/Security/cc184924.aspx
(http://technet.microsoft.com/en-us/security/cc184924.aspx)

Phát hi?n

Đ?n nay, các h? th?ng duy nh?t đư?c báo cáo đ? b? ?nh hư?ng b?i đi?u này cu?c t?n công đ? là h? th?ng đang ch?y Microsoft Windows 2000 Server. Microsoft khuy?n cáo khách hàng quét Windows 2000 Server c?a h? d?a trên môi trư?ng đ? xác đ?nh xem các t?p tin đó đư?c li?t kê trong "k? thu?t Chi ti?t"ph?n c?a bài vi?t này t?n t?i. B?i v? m?t s? t?p có th? đ? cách h?p pháp đư?c cài đ?t, khách hàng nên đi?u tra chúng đ? xác đ?nh c?a h? vi?c s? d?ng và m?c đích.

Ph?c h?i

Đ? giúp đ? v?i thu h?i, liên h? v?i h? tr? s?n ph?m c?a Microsoft D?ch v? b?ng cách s? d?ng phương pháp ưa thích c?a b?n. Đ? bi?t thêm thông tin v? phương pháp đ? liên h? v?i d?ch v? h? tr? c?a Microsoft s?n ph?m, truy c?p vào trang Web Microsoft sau đây Trang web:
http://support.Microsoft.com/
(http://support.microsoft.com/)
Quay l?i đ?u trang | Cung cấp Phản hồi

CÁCH GI?I QUY?T KHÁC

Quan tr?ng Ph?n, phương pháp ho?c nhi?m v? này ch?a các bư?c cho b?n bi?t làm th? nào đ? s?a đ?i registry. Tuy nhiên, v?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i registry không chính xác. V? v?y, h?y ch?c ch?n r?ng b?n làm theo các bư?c sau m?t cách c?n th?n. Đ? b?o v? đư?c thêm vào, sao lưu s? đăng k? trư?c khi b?n s?a đ?i nó. Sau đó, b?n có th? khôi ph?c s? đăng k? n?u m?t v?n đ? x?y ra. Đ? bi?t thêm chi ti?t v? làm th? nào đ? sao lưu và khôi ph?c s? đăng k?, h?y nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
322756
(http://support.microsoft.com/kb/322756/ )
Cách sao lưu và lưu tr? s? đăng kư trong Windows


Đ? làm vi?c xung quanh v?n đ? này, b?n ph?i đ?i tên c? th? t?p tin và sau đó s?a đ?i s? đăng k?. Đ? th?c hi?n vi?c này, h?y làm theo các bư?c.

Chú ý Các bư?c sau đây là ch? là m?t gi?i pháp t?m th?i. Các bư?c sau ch? lo?i b? nh?ng ?nh hư?ng c?a s? lây nhi?m ban đ?u. Các bư?c này không lo?i b? b?t k? b? sung virus máy tính thu đư?c sau khi máy tính đ?u tiên b? nhi?m b?nh. Chúng tôi đ? ngh? r?ng b?n khôi ph?c l?i h? đi?u hành b?ng cách s? d?ng xác minh phương ti?n sao lưu t? m?t quan đi?m đư?c bi?t đ?n, trư?c khi máy tính đ? b? nhi?m. B?n có th? c?ng đ?nh d?ng ? đ?a c?ng, cài đ?t l?i h? đi?u hành, và sau đó Khôi ph?c d? li?u b? m?t b?ng cách s? d?ng xác minh phương ti?n sao lưu t? m?t t?t đư?c bi?t đ?n đi?m.
  1. Trên Windows 2000 d?a trên máy tính, b?m chu?t ph?i vào các thanh tác v?, và sau đó nh?p vào Qu?n l? tác v?.
  2. Trong Task Manager, ch?n Taskmngr.exe, và sau đó b?m K?t thúc.

    Chú ý H?y ch?c ch?n r?ng b?n ch?n Taskmngr.exe và không ph?iTaskmgr.exe
  3. Đóng Task Manager.
  4. B?ng cách s? d?ng Microsoft Windows Explorer, xác đ?nh v? trí các \WINNT\System32 thư m?c. Đ?i tên các t?p tin sau đây đư?c ch?a trong các \WINNT\System32 thư m?c b?ng cách g? .Bak ? ph?n cu?i c?a các tên t?p.

    Chú ý M?t s? trong nh?ng t?p tin này có th? không đư?c ch?a trong \WINNT\System32 thư m?c.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.HLP
    • Xvpll.HLP
    • Dll32.HLP
    • Httpsearch.ini
    • MDM.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • GG.bat
    • Ocxdll.exe
    Chú ý Đ? đ?i tên các t?p tin này, h?y làm theo các bư?c sau:
    1. Nh?p chu?t ph?i trong thư m?c \WINNT\System32, vào b?t c? các t?p trong danh sách, b?m Đ?i tên, lo?i .Bak ? ph?n cu?i c?a tên t?p, và sau đó nh?n Nh?p.

      Ví d?, b?n có th? đ?i tên Nt32.ini đ? Nt32.ini.Bak.
    2. L?p l?i bư?c m?t cho m?i t?p tin trong này danh sách.
  5. Nh?p vào B?t đ?u, b?m Ch?y, lo?i regedit, sau đó b?mOk.
  6. Trong Registry Editor, định vị khoá con đăng ký sau:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. Click vào giá tr? Rundll32 tham chi?u Taskmngr.exe dư?i the following registry subkey, và sau đó nh?p vào Xóa b?:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. N?u b?n có b? ki?m soát mi?n Windows 2000 có nhi?m vi rút MIRC Trojan, s? d?ng Windows Explorer đ? xác đ?nh v? trí các GmpTpl.inf t?p tin n?m trong thư m?c sau đây trên Windows 2000 đi?u khi?n vùng:
    \WINNT\SYSVOL\sysvol\DomainName\Policies\ {}GUID} \MACHINE\Microsoft\Windows NT\SecEdit
    Chú ý Trong tên c?p này, DomainName là các tên mi?n Windows 2000.
  9. So sánh các t?p tin GmpTpl.inf vào m?t b?n sao t?t đư?c bi?t đ?n c?a các GmpTpl.inf t?p tin. B?n có th? khôi ph?c l?i m?t b?n sao t?t đư?c bi?t đ?n c?a các t?p tin GmpTpl.inf b?i b?ng cách s? d?ng ki?m ch?ng phương ti?n sao lưu t? m?t đi?m t?t đư?c bi?t đ?n hay b?ng cách s? d?ng m?t Windows năm 2000 b? đi?u khi?n vùng.

    Chú ý Vi rút MIRC Trojan có th? thay đ?i ho?c thêm SeNetworkLogonRight giá tr? đư?c ch?a trong t?p tin GmpTpl.inf.

Sau khi hoàn t?t các bư?c này, chúng tôi đ? ngh? b?n s? d?ng ph?n m?m ch?ng vi-rút có các đ?nh ngh?a virus m?i nh?t đ? phát hi?n và lo?i b? vi rút MIRC Trojan. Sau đó, đ?nh d?ng và sau đó cài đ?t l?i h? ph?c v? ngay sau khi nó là thu?n ti?n cho b?n. Chúng tôi khuyên b?n nên hành đ?ng này b?i v? các máy ch? đ? b? t?n h?i.
Quay l?i đ?u trang | Cung cấp Phản hồi

Thu?c tính

ID c?a bài: 328691 - L?n xem xét sau cùng: 28 Tháng Tám 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
T? khóa: 
kbenv kbinfo kbsechack kbmt KB328691 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:328691
(http://support.microsoft.com/kb/328691/en-us/ )
Quay l?i đ?u trang | Cung cấp Phản hồi

Cung cấp Phản hồi

 
Quay l?i đ?u trangQuay l?i đ?u trang