MIRC liên quan đ?n Trojan t?n công phát hi?n và s?a ch?a

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 328691 - Xem s?n ph?m mà bài này áp d?ng vào.
Chú ?
Bài vi?t này áp d?ng cho Windows 2000. H? tr? cho Windows 2000 k?t thúc vào ngày 13 tháng 7 năm 2010. Các Trung tâm gi?i pháp cu?i cùng h? tr? Windows 2000 là m?t đi?m kh?i đ?u đ? l?p k? ho?ch chi?n lư?c c?a b?n di chuy?n t? Windows 2000. Đ? bi?t thêm thông tin xem các Chính sách v?ng đ?i h? tr? c?a Microsoft.
Bung t?t c? | Thu g?n t?t c?

? Trang này

Tóm t?t

C?p Nh?t: theo ngày 6 tháng 9 năm 2002, các báo cáo c?a các ho?t đ?ng đ?c h?i mà theo các mô h?nh c? th? đư?c nêu trong bài vi?t này đ? gi?m đi đáng k?. nhóm bảo mật Microsoft b?n ghi d?ch v? H? tr? S?n ph?m có l?n này bài vi?t Cơ s? tri th?c Microsoft đ? ph?n ánh thông tin này và đ? tinh ch?nh các đ? xu?t cho phát hi?n và s?a ch?a các tiêu chí.

Microsoft đ? nghiên c?u s? gia tăng trong ho?t đ?ng đ?c h?i c? g?ng đ? t?i m? trên Máy ch? D?a trên Microsoft Windows 2000. Ho?t đ?ng này là thư?ng g?n li?n v?i m?t chương tr?nh mà đ? đư?c xác đ?nh là Backdoor.IRC.Flood.

B?i phân tích các máy tính đ? b? t?n h?i, Microsoft đ? xác đ?nh r?ng Các cu?c t?n công không xu?t hi?n đ? khai thác b?t k? b?o m?t liên quan đ?n s?n ph?m m?i l? h?ng và dư?ng như không có virus ho?c sâu như trong t? nhiên. Thay vào đó, Các cu?c t?n công t?m cách đ? chi?m ưu th? c?a các t?nh hu?ng nơi tiêu chu?n bi?n pháp ph?ng ng?a đ? không đư?c th?c hi?n chi ti?t trong ph?n "Ph?ng ng?a". Các ho?t đ?ng dư?ng như đư?c k?t h?p v?i m?t lo?t các n? l?c cá nhân đ? ph?i h?p th?a hi?p năm 2000 Windows d?a trên máy ch?. Như m?t k?t qu?, thành công th?a hi?p đ? l?i m?t mô h?nh đ?c bi?t. Bài vi?t này li?t kê các t?p và chương tr?nh s? cung c?p b?ng ch?ng c?a m?t s? th?a hi?p thành công theo mô h?nh này đ? b?n có th? có các hành đ?ng thích h?p đ?:
  • Phát hi?n các máy tính b? xâm ph?m.
  • S?a ch?a và ph?c h?i máy tính b? xâm ph?m.

Thông tin thêm

Tác đ?ng c?a cu?c t?n công

S? th?a hi?p c?a máy ch?

Tri?u ch?ng

Th?a hi?p h? th?ng hi?n th? m?t ho?c nhi?u các tri?u ch?ng sau đây:
  • Ph?n m?m ch?ng virus có th? ch? ra r?ng nó đ? phát hi?n Trojans, ch?ng h?n như Backdoor.IRC.Flood và các bi?n th?. Hi?n t?i ch?ng virus s?n ph?m (s? d?ng t?p tin ch? k? C?p Nh?t) phát hi?n các Trojan.
  • N?u các máy tính b? xâm ph?m là m?t b? đi?u khi?n tên mi?n, các chính sách b?o m?t đư?c s?a đ?i. M?t s? nh?ng tác đ?ng có th? c?a m?t l?n chính sách b?o m?t là:
    • Đánh các tài kho?n đ? b? vô hi?u hoá trư?c đây b?t l?i.
    • Tài kho?n trái phép m?i, có th? v?i hành chính quy?n đư?c t?o ra.
    • mức cấp phép b?o m?t đư?c thay đ?i trên máy ch? ho?c trong m?c tin thư thoại ho?t đ?ng.
    • Ngư?i dùng không th? kí nh?p vào tên mi?n t? các máy tr?m.
    • Ngư?i dùng không th? m? m?c tin thư thoại ho?t đ?ng snap-in trong Microsoft Management Console (MMC).
    • Khi qu?n tr? viên c? g?ng đ? m? các ho?t đ?ng m?c tin thư thoại các web site và b?n ghi d?ch v? bám-theo, b?n nh?n đư?c thông báo l?i sau:
      Đ?t tên thông tin không th? đư?c đ?t b?i v?: h? ph?c v? không ph?i là ho?t đ?ng. Liên h? v?i ngư?i người quản trị hệ thống đ? xác minh r?ng b?n tên mi?n đư?c c?u h?nh đúng và là hi?n nay đang online.
    • B?n ghi l?i hi?n th? nhi?u n? l?c kí nh?p th?t b?i t? h?p pháp ngư?i dùng đ? b? khóa trong.
    • Khi b?n c? g?ng ch?y DCDIAG trên m?t b? đi?u khi?n tên mi?n, b?n có th? nh?n đư?c m?t ho?c nhi?u c?a các thông báo l?i sau đây:
      Th?c hi?n các thi?t l?p ban đ?u: [sic1] LDAP gi?i h?n trên đ? th?t b?i v?i l?i 31, m?t thi?t b? g?n vào h? th?ng không ho?t đ?ng.
      Th?c hi?n các thi?t l?p ban đ?u: [Tên_máy_ph?c_v?] gi?i h?n trên LDAP th?t b?i v?i l?i 1323, không th? c?p nh?t m?t kh?u. Giá tr? cung c?p m?t kh?u hi?n th?i là không chính xác. *** L?i: Các máy tính có th? không đính kèm các DC v? các thông tin không chính xác. Ki?m tra ?y nhi?m c?a b?n ho?c ch? đ?nh thông tin kí nh?p v?i /u:<domain>\<user> & /p:[<password>|*|""]</password></user></domain>
      Lưu ? Trong thông báo l?i này, Tên_máy_ph?c_v? là tên b? đi?u khi?n tên mi?n.
Ngoài ra, khi b?n c? g?ng sao lưu trạm đậu h? th?ng trên các b? nhi?m b?nh máy tính, các thông báo l?i sau đây có th? xu?t hi?n trong Nh?t k? ?ng d?ng vào các máy tính mà b?n đang th?c hi?n sao lưu:
ID s? ki?n: 8012
Ngu?n: NTBackup
Mô t?:
'Active Directory' tr? v? 'm?t thi?t b? g?n li?n v?i h? th?ng không ho?t đ?ng.' t? m?t cu?c g?i đ?n D? li?u b? sung 'BackupPrepare()' '\\ComputerName'.
Lưu ? Trong thông báo l?i này, ComputerName là tên cơ b?n đ?u vào/đ?u ra h? th?ng (NetBIOS) m?ng c?a máy tính.
ID s? ki?n: 1000
Ngu?n: Userenv
Mô t?:
C?a s? không th? xác đ?nh tên người dùng hay máy tính. Giá tr? tr? l?i (1326)

Chi ti?t k? thu?t

N?u máy tính đ? b? xâm ph?m, ch?ng vi-rút ph?n m?m có th? phát hi?n các m? đ?c h?i như Backdoor.IRC.Flood và các bi?n th?. Đ? bi?t thêm thông tin, liên h? v?i đ?i l? ch?ng vi-rút c?a b?n.

Trong trư?ng h?p đó Microsoft đ? phân tích, các máy ch? b? xâm ph?m đ? đư?c t?m th?y có các chương tr?nh và t?p tin sau đây. S? hi?n di?n c?a nh?ng t?p tin này ch? ra r?ng các H? th?ng đ? b? xâm ph?m. N?u các t?p ho?c chương tr?nh đư?c t?m th?y trên c?a b?n máy tính, và n?u h? đ? không đư?c cài đ?t chuyên bi?t c?a b?n ho?c v?i ki?n th?c c?a b?n, ch?y m?t quét vi-rút hoàn ch?nh v?i m?t vi-rút C?p Nh?t ch?c năng quét chương tr?nh.

Lưu ? Đư?ng d?n đ?n các t?p tin không đư?c li?t kê b?i v? h? có th? khác nhau.
  • GG.bat: Gg.bat c? g?ng đ? k?t n?i v?i các máy ch? khác như qu?n tr? viên, qu?n tr? ho?c g?c, tra c?u Flashfxp và chương tr?nh Ws_ftp H? ph?c v?, sao chép t?p tin m?t s? (bao g?m c? Ocxdll.exe) đ?n máy ch?, và sau đó s? d?ng chương tr?nh Psexec đ? th?c thi l?nh trên máy ch? t? xa.
  • Seced.bat: Seced.bat thay đ?i an ninh chính sách.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
Trong trư?ng h?p khác, các chương tr?nh h?p pháp đ? đư?c cài đ?t chuyên bi?t b?i các k? t?n công đ? h? tr? trong các th?a hi?p. N?u các chương tr?nh này đư?c t?m th?y trên c?a b?n H? th?ng, và n?u b?n không cài đ?t chuyên bi?t chúng, nó có th? cho th?y m?t s? th?a hi?p, và b?n nên đi?u tra thêm.
  • Psexec
  • Ws_ftp
  • FlashFXP
M?t t?p cu?i cùng c?a các t?p tin đư?c liên k?t v?i các cu?c t?n công m?t c?p h?p pháp h? th?ng t?p thư?ng xuyên đư?c cài đ?t chuyên bi?t trên h? th?ng, nhưng trojanized Phiên b?n trong đó đư?c cài đ?t chuyên bi?t như m?t ph?n c?a cu?c t?n công. H?u h?t s?n ph?m nhà cung c?p ch?ng vi-rút, khi h? đư?c s? d?ng k?t h?p v?i hi?n hành d?u ki?m hi?u vi rút, s? phát hi?n trojanized các phiên b?n c?a nh?ng t?p tin này n?u h? đang có hi?n nay.
  • MDM.exe
  • Taskmngr.exe

T?n công vectơ

Các phân tích đ?n nay cho th?y r?ng nh?ng k? t?n công xu?t hi?n đ? có đ? đ?t đư?c vào h? th?ng b?ng cách s? d?ng m?t kh?u qu?n tr? viên y?u ho?c tr?ng. Microsoft không có b?ng ch?ng cho th?y r?ng b?t k? an ninh trư?c đây không r? l? h?ng đ? đư?c s? d?ng trong các cu?c t?n công.

Công tác ph?ng ch?ng

Microsoft khuy?n cáo r?ng khách b?o v? máy ch? c?a h? ch?ng l?i Đi?u này và các cu?c t?n công b?ng cách đ?m b?o r?ng h? th?c hi?n theo tiêu chu?n b?o m?t t?t nh?t ««th?c hành, ch?ng h?n như:
  • Lo?i b? tr?ng hay y?u ngư?i qu?n tr? m?t kh?u.
  • T?t trương m?c khách.
  • Ch?y ph?n m?m ch?ng vi-rút hi?n t?i v?i up-to-virus đ?nh ngh?a ch? k?.
  • B?ng cách s? d?ng tư?ng l?a b?o v? máy ch? n?i b?, bao g?m c? b? b? ki?m soát mi?n.
  • ? l?i đ?n nay trên t?t c? các b?n vá b?o m?t.
Đ? đư?c hư?ng d?n v? các th?c hành t?t nh?t đ? prescriptively c?u h?nh Máy ch? D?a trên Microsoft Windows 2000, h?y xem hư?ng d?n ho?t đ?ng an ninh cho Windows 2000 Server. Đ? xem hư?ng d?n này, ghé thăm Web site sau c?a Microsoft:
http://technet.Microsoft.com/en-US/Library/dd277322.aspx
Đ? bi?t thêm thông tin v? làm th? nào đ? gi? Windows 2000 Server vá và b?o m?t, ghé thăm Web site sau c?a Microsoft:
http://www.Microsoft.com/TechNet/Security/current.aspx
Ngoài ra, b?n có th? s? d?ng cơ s? b?o m?t c?a Microsoft Phân tích. Đ? bi?t thêm thông tin v? phân tích cơ s? b?o m?t c?a Microsoft, H?y ghé thăm Web site sau c?a Microsoft:
http://technet.Microsoft.com/en-US/Security/cc184924.aspx

Phát hi?n

Đ?n nay, các h? th?ng ch? báo cáo đ? b? ?nh hư?ng b?i đi?u này cu?c t?n công đ? là h? th?ng đang ch?y Microsoft Windows 2000 Server. Microsoft khuy?n cáo r?ng khách quét c?a h? d?a trên Windows 2000 Server Các môi trư?ng đ? xác đ?nh n?u các t?p tin li?t kê trong "k? thu?t Chi ti?t"ph?n c?a bài vi?t này t?n t?i. B?i v? m?t s? t?p có th? đ? cách h?p pháp cài đ?t chuyên bi?t, khách hàng nên đi?u tra h? đ? xác đ?nh c?a h? s? d?ng và m?c đích.

Ph?c h?i

Đ? đư?c tr? giúp ph?c h?i, liên h? v?i h? tr? s?n ph?m c?a Microsoft b?n ghi d?ch v? b?ng cách s? d?ng phương pháp ưa thích c?a b?n. Đ? bi?t thêm thông tin v? phương pháp đ? liên h? v?i b?n ghi d?ch v? H? tr? S?n ph?m c?a Microsoft, h?y truy c?p Microsoft sau đây Web Trang web:
http://support.Microsoft.com/

Cách gi?i quy?t khác

Quan tr?ng Ph?n, phương pháp, ho?c công vi?c có bư?c mà cho b?n bi?t làm th? nào đ? s?a đ?i s? ki?m nh?p. Tuy nhiên, v?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i registry không chính xác. V? v?y, h?y ch?c ch?n r?ng b?n làm theo các bư?c sau m?t cách c?n th?n. Đ? b?o v? b? sung, sao lưu s? ki?m nh?p trư?c khi b?n s?a đ?i nó. Sau đó, b?n có th? khôi ph?c s? ki?m nh?p n?u m?t v?n đ? x?y ra. Đ? bi?t thêm chi ti?t v? làm th? nào đ? sao lưu và khôi phục s? ki?m nh?p, nh?p vào s? bài vi?t sau đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
322756 Làm th? nào đ? sao lưu và khôi phục s? ki?m nh?p trong Windows


Đ? kh?c ph?c v?n đ? này, b?n ph?i đ?i tên c? th? t?p tin và sau đó s?a đ?i s? ki?m nh?p. Đ? làm đi?u này, h?y làm theo các Các bư?c.

Lưu ? Các bư?c sau đây là ch? là m?t gi?i pháp t?m th?i. Các bư?c sau ch? lo?i b? nh?ng ?nh hư?ng c?a s? lây nhi?m ban đ?u. Các bư?c này không lo?i b? b?t k? vi rút thêm máy thu đư?c sau khi máy tính đ?u tiên b? nhi?m b?nh. Chúng tôi đ? ngh? r?ng b?n khôi ph?c l?i hệ điều hành b?ng cách s? d?ng xác nh?n phương ti?n sao lưu t? m?t đi?m t?t đư?c bi?t đ?n, trư?c khi máy tính đ? b? nhi?m. B?n có th? c?ng có th? đ?nh d?ng ổ đĩa c?ng, cài đ?t chuyên bi?t l?i hệ điều hành, và sau đó khôi ph?c d? li?u b? m?t b?ng cách s? d?ng phương ti?n sao lưu xác nh?n t? m?t t?t đư?c bi?t đ?n đi?m.
  1. Trên máy tính d?a trên Windows 2000, B?m chu?t ph?i vào các thanh công c?, và sau đó b?m vào Qu?n l? tác v?.
  2. Trong Task Manager, ch?n Taskmngr.exe, và sau đó nh?p vào K?t thúc.

    Lưu ? H?y ch?c ch?n r?ng b?n ch?n Taskmngr.exe và khôngTaskmgr.exe
  3. G?n qu?n l? tác v?.
  4. B?ng cách s? d?ng Microsoft Window Explorer, xác đ?nh v? trí các \WINNT\System32 m?c tin thư thoại. Đ?i tên các t?p tin sau đây đư?c ch?a trong các \WINNT\System32 m?c tin thư thoại b?ng cách g? .Bak ? ph?n cu?i c?a các t?p đ? đ?t tên tin.

    Lưu ? M?t s? trong nh?ng t?p tin này có th? không đư?c ch?a trong \WINNT\System32 m?c tin thư thoại.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.HLP
    • Xvpll.HLP
    • Dll32.HLP
    • Httpsearch.ini
    • MDM.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • GG.bat
    • Ocxdll.exe
    Lưu ? Đ? đ?i tên các t?p này, h?y làm theo các bư?c sau:
    1. B?m chu?t ph?i trong m?c tin thư thoại \WINNT\System32, vào b?t c? các các t?p tin trong danh sách, b?m vào Đ?i tên, lo?i .Bak vào cu?i c?a tên t?p, và sau đó b?m Nh?p.

      Ví d?, b?n có th? thay đ?i tên Nt32.ini đ? Nt32.ini.Bak.
    2. L?p l?i bư?c m?t cho m?i t?p tin trong này danh sách.
  5. B?m chu?t B?t đ?u, b?m vào Ch?y, lo?i regedit, và sau đó nh?p vàoOk.
  6. Trong Registry Editor, xác đ?nh v? trí registry subkey sau đây:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. Click vào giá tr? Rundll32 Taskmngr.exe theo tài li?u tham kh?o registry subkey sau đây, và sau đó b?m vào Xóa:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. N?u b?n có b? ki?m soát mi?n Windows 2000 có b? nhi?m vi rút MIRC Trojan, s? d?ng Window Explorer đ? xác đ?nh v? trí các GmpTpl.inf t?p tin n?m trong m?c tin thư thoại sau đây trên Windows 2000 đi?u khi?n tên mi?n:
    \WINNT\SYSVOL\sysvol\DomainName\Policies\ {}GUID} \MACHINE\Microsoft\Windows NT\SecEdit
    Lưu ? Trong tên m?c tin thư thoại này, DomainName là các tên mi?n Windows 2000.
  9. So sánh các t?p tin GmpTpl.inf m?t đ?ng g?i t?t đư?c bi?t đ?n c?a các GmpTpl.inf t?p tin. B?n có th? khôi ph?c l?i m?t đ?ng g?i t?t đư?c bi?t đ?n c?a các t?p tin GmpTpl.inf b?i s? d?ng xác minh phương ti?n sao lưu t? m?t quan đi?m đư?c bi?t đ?n ho?c b?ng cách s? d?ng m?t c?a s? b? b? ki?m soát mi?n năm 2000.

    Lưu ? Vi rút MIRC Trojan có th? thay đ?i ho?c thêm SeNetworkLogonRight giá tr? n?m trong t?p tin GmpTpl.inf.

Sau khi b?n hoàn t?t các bư?c, chúng tôi khuyên b?n nên dùng ph?n m?m ch?ng vi-rút có các đ?nh ngh?a virus m?i nh?t đ? phát hi?n và lo?i b? vi rút MIRC Trojan. Sau đó, đ?nh d?ng và sau đó cài đ?t chuyên bi?t l?i các h? ph?c v? ngay sau khi nó là thu?n ti?n cho b?n. Chúng tôi khuyên b?n nên hành đ?ng này b?i v? các máy ch? đ? b? t?n h?i.

Thu?c tính

ID c?a bài: 328691 - L?n xem xét sau cùng: 20 Tháng Bảy 2013 - Xem xét l?i: 3.0
Áp d?ng
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
T? khóa: 
kbenv kbinfo kbsechack kbmt KB328691 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài viết này được d?ch b?ng phần mềm dịch thu?t của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa l?i thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung c?p các bài vi?t đư?c c? biên d?ch viên và ph?n m?m d?ch thu?t th?c hi?n và c?ng đ?ng ch?nh s?a l?i đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng nhi?u ngôn ng? Tuy nhiên, bài vi?t do máy d?ch hoặc thậm chí cộng đồng chỉnh sửa sau không ph?i lúc nào c?ng hoàn h?o. Các bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này: 328691

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com