MIRC 与特洛伊木马相关的攻击检测和修复

文章翻译 文章翻译
文章编号: 328691
展开全部 | 关闭全部

本文内容

概要

更新:自 2002 年 9 月 6 日开始,有关遵循本文中概述的特定模式的恶意行为的报告已大大减少。Microsoft 产品支持服务安全反应小组已修改了此 Microsoft 知识库文章,以反映此信息并完善有关检测和修复标准的建议。

Microsoft 已经对试图将代码加载到基于 Microsoft Windows 2000 的服务器中的恶意行为的增多进行了调查。此行为通常与已标识为 Backdoor.IRC.Flood 的程序相关联。

通过分析遭受攻击的计算机,Microsoft 已经确定这些攻击看起来没有利用任何与新产品有关的安全漏洞,并且本质上似乎不属于病毒或蠕虫。相反,这些攻击试图利用没有采取标准防范措施(详见本文的“防范措施”部分)的情况。此行为似乎与一系列互相协同的个别尝试相关联,以破坏基于 Windows 2000 的服务器的安全。因此,成功的破坏行为都有一种独特的模式。本文列出的文件和程序将根据此模式提供破坏行为能否成功的迹象,以便您能够采取适当的措施达到以下目的:
  • 检测遭受破坏的计算机。
  • 修复和恢复遭受破坏的计算机。

更多信息

攻击的影响

服务器遭受的破坏

症状

遭受破坏的系统将显示以下一种或多种症状:
  • 防病毒软件可能表示它已检测到特洛伊木马,如 Backdoor.IRC.Flood 及其变体。最新的防病毒产品(这些产品使用最新的签名文件)检测到这些特洛伊木马。
  • 如果遭受破坏的计算机是域控制器,则安全策略将被修改。被修改的安全策略可能造成的一些影响包括:
    • 以前禁用的来宾帐户被重新启用。
    • 创建未经授权的新帐户,并且可能具有管理权限。
    • 服务器或 Active Directory 中的安全权限被更改。
    • 用户无法从工作站登录到域。
    • 用户无法在 Microsoft Management Console (MMC) 中打开 Active Directory 管理单元。
    • 错误日志显示合法用户的多次登录尝试均失败,并且他们被锁定。

技术细节

如果计算机的安全已经被破坏,则防病毒软件可能会检测到恶意代码,如 Backdoor.IRC.Flood 及其变体。有关详细信息,请与您的防病毒软件供应商联系。

在 Microsoft 已经分析过的案例中,遭受破坏的服务器都具有以下文件和程序。这些文件的存在表示系统的安全已经被破坏。如果在计算机中找到这些文件或程序,而且它们不是由您安装的,或者是在您不知情的情况下安装的,请使用最新的病毒扫描程序运行完整的病毒扫描。

注意:由于这些文件的路径可能有所不同,因此此处未列出。
  • Gg.bat:Gg.bat 尝试以管理员身份(admin 或 root)连接到其他服务器,查找此服务器中的 Flashfxp 和 Ws_ftp 程序,将多个文件(包括 Ocxdll.exe)复制到此服务器,然后使用 Psexec 程序在远程服务器上执行命令。
  • Seced.bat:Seced.bat 更改安全策略。
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
在其他情况下,攻击者还安装合法程序以帮助进行破坏。如果在系统中找到这些程序,而且它们不是由您安装的,则可能表示系统安全已经被破坏,您应该进行进一步检查。
  • Psexec
  • Ws_ftp
  • Flashfxp
最后一组与这些攻击相关联的文件是两个合法的系统文件,系统中通常都安装有这两个文件,但是它们的特洛伊木马版本是作为攻击的一部分安装的。大多数防病毒供应商的产品在与最新的病毒签名结合使用时,都能够检测到这两个文件的特洛伊木马版本(如果存在的话)。
  • MDM.exe
  • Taskmngr.exe

攻击媒介

截止到目前的分析表明:攻击者似乎是通过使用保密性不强或空白的管理员密码进入系统的。Microsoft 没有证据表明这些攻击中已经使用了目前为止尚不知道的任何安全漏洞。

防范措施

Microsoft 建议客户务必按照标准的安全最佳做法操作,以保护他们的服务器免遭此攻击和其他攻击的破坏,这些做法包括:
  • 消除空白的或保密性不强的管理员密码。
  • 禁用来宾帐户。
  • 运行具有最新的病毒签名定义的最新防病毒软件。
  • 使用防火墙保护内部服务器,包括域控制器。
  • 使所有安全修补程序都保持最新。
有关规范地配置基于 Microsoft Windows 2000 的服务器的最佳做法的指导,请参阅 Security Operations Guide for Windows 2000 Server(《Windows 2000 Server 安全操作指南》)。要查看此指南,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/default.asp
有关如何使 Windows 2000 Server 总是得到修补并且安全的详细信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/current.asp
或者,您也可以使用 Microsoft Security Baseline Analyzer。有关 Microsoft Security Baseline Analyzer 的详细信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/tools/Tools/MBSAhome.asp

检测

到目前为止,报告受到此攻击影响的系统一直都是运行 Microsoft Windows 2000 Server 的系统。Microsoft 建议客户扫描他们的基于 Windows 2000 Server 的环境,以确定本文的“技术细节”部分中列出的文件是否存在。由于某些文件可能是合法安装的,因此客户应对它们进行检查,以确定它们的用途和目的。

恢复措施

要获得有关恢复措施的帮助,请通过您喜欢的方法与 Microsoft 产品支持服务联系。有关如何与 Microsoft 产品支持服务联系的详细信息,请访问下面的 Microsoft Web 站点:
http://support.microsoft.com/

属性

文章编号: 328691 - 最后修改: 2003年7月23日 - 修订: 2.0
关键字:?
kbinfo kbenv kbsechack KB328691
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com