MIRC 相關的特洛伊木馬攻擊的偵測與修護功能

文章翻譯 文章翻譯
文章編號: 328691 - 檢視此文章適用的產品。
注意事項
這份文件適用於 Windows 2000。Windows 2000 支援在 2010 年 7 月 13 日結束。[ Windows 2000 結束的支援解決方案中心 是您在規劃移轉策略從 Windows 2000 的起始點。如需詳細資訊,請參閱 Microsoft 技術支援週期準則.
全部展開 | 全部摺疊

在此頁中

結論

更新程式: 2002 年 9 月 6 日,惡意的活動的報告年,有變小,請遵循本文所述的特定模式顯著。Microsoft 產品支援部安全小組擁有修改此知識庫文件編號,以反映這項資訊,若要修改偵測與修復功能] 準則中的建議。

Microsoft具有惡意的活動,並試著在載入的程式碼在調查增加Microsoft Windows 2000 為基礎的伺服器。這像活動不通常相關聯已識別為 Backdoor.IRC.Flood 的程式。

藉由分析已遭入侵的電腦時,Microsoft 程式發現若要利用任何新的產品相關安全性不會出現這些攻擊弱點但沒看到任何病毒或蠕蟲類似敏感性的。相反地,攻擊,設法利用的情況下,標準的預防措施未被採用 「 防止 」 一節中詳細。該活動似乎是與對等一致的一連串的個別嘗試產生關聯由於 Windows 2000 為基礎的伺服器會損害。因此,成功的妥協保留的特殊圖樣。本文將列出可能的檔案和程式提供成功的入侵,根據此模式的辨識項,以便您可以採取適當動作:
  • 偵測受攻擊的電腦。
  • 修復並修復受攻擊的電腦上。

其他相關資訊

攻擊的影響

伺服器遭到入侵

徵狀

遭入侵的系統會顯示一或多個下列徵狀:
  • 防毒軟體可能表示程式偵測到特洛伊木馬程式,例如 Backdoor.IRC.Flood 與變種。目前的防毒軟體產品 (也就使用最新的簽章檔案) 偵測到這些特洛伊木馬程式。
  • 如果受攻擊的電腦是網域控制站,修改安全性原則。有些可能已修改的影響安全性原則是:
    • 先前已停用的來賓帳戶重新啟用。
    • 可能是具有系統管理新的未授權的帳戶特殊權限,就會建立。
    • 在伺服器上或在 [變更安全性權限使用中的目錄。
    • 使用者無法從網域登入工作站。
    • 使用者無法開啟中的 Active Directory] 嵌入式管理單元Microsoft 管理主控台 (MMC)。
    • 系統管理員嘗試開啟使用中目錄的站台及服務] 嵌入式管理單元,您會收到下列錯誤訊息:
      找不到命名資訊,原因: 伺服器目前無法作業。請連絡您的系統管理員,以確認您網域設定正確,在連線狀態。
    • 錯誤記錄檔會顯示從多個嘗試登入失敗鎖定的合法使用者。
    • 當您嘗試在網域控制站上執行 DCDIAG 您可能會收到下列一或多個下列的錯誤訊息:
      執行初始安裝: [sic1] LDAP 繫結失敗,錯誤碼 31,附加至系統的裝置沒有作用。
      執行初始安裝: [伺服器名稱]LDAP 繫結失敗,錯誤碼 1323,無法更新密碼。此值一些目前的密碼不正確。* * * 錯誤: 機器做不附加到的 DC,因為認證不正確。請檢查您的認證指定的認證與您<domain>或 \<user> &/p:[<password>|*|""]</password></user></domain>
      附註在這個錯誤訊息, 伺服器名稱 是網域控制站的名稱。
此外,當您嘗試在受感染備份系統狀態電腦] 上的應用程式記錄檔,可能會出現下列的錯誤訊息您要在其中執行備份的電腦:
事件識別碼:8012
來源: NTBackup
描述:
[動態目錄]呼叫所傳回 '附加至系統的裝置沒有作用'。'BackupPrepare()' 額外的資料'\\電腦名稱'.
附註在這個錯誤訊息, 電腦名稱 是電腦的網路基本輸入/輸出系統 (NetBIOS) 名稱。
事件識別碼: 1000
來源: Userenv
描述:
視窗無法判斷使用者或電腦名稱。傳回值 (1326)

技術詳細資料

如果電腦已遭洩露,防毒軟體可能偵測到惡意的程式碼,例如 Backdoor.IRC.Flood 與變種。如需詳細資訊詳細資訊,請連絡您的防毒軟體廠商。

案例中,Microsoft 已經分析、 有找不到遭入侵的伺服器下列檔案和程式。這些檔案是否存在表示系統已被入侵。如果這些檔案或程式都可以在找到您電腦上,並不安裝被您或者與您的知識,執行含最新的病毒掃描程式的完整的病毒掃描。

附註未列出檔案的路徑,因為它們可能會有所不同。
  • Gg.bat: Gg.bat 嘗試連線到其他伺服器,為系統管理員、 系統管理員或根,看起來如 Flashfxp Ws_ftp 上和程式伺服器上,會將數個檔案 (包括 Ocxdll.exe) 複製到伺服器,然後再使用 Psexec 程式在遠端伺服器上執行命令。
  • Seced.bat: Seced.bat 變成安全性原則。
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
在其他情況下,合法的程式都已安裝的以幫助入侵的攻擊者。如果這些程式都可以在找到您系統,如果您未安裝它們,可能表示,取得一個平衡,且您應該進一步調查。
  • Psexec
  • Ws_ftp
  • Flashfxp
是一組最後這些攻擊與相關聯的檔案例行地安裝在系統上,合法的系統檔案的一對,但攻擊的一部分安裝了其中的 trojanized 版本。大部分防毒軟體廠商的產品,配合目前使用中時病毒簽章,將會偵測這些檔案的 trojanized 版本,如果它們會出現。
  • MDM.exe
  • Taskmngr.exe

攻擊的對象

分析日期來表示攻擊者會使藉由使用安全性不足的或空白的系統管理員密碼的系統所取得的項目。Microsoft 具有任何的辨識項,以建議的任何是未知的安全性使用於攻擊的弱點。

防止

Microsoft 建議客戶保護他們的伺服器,針對這與其他的攻擊,以確定它們遵守標準安全性最佳指導,例如:
  • 消除空白或弱式的系統管理員密碼。
  • 正在停用 「 來賓 」 帳戶。
  • 以最新的病毒執行新的防毒軟體簽章的定義。
  • 若要保護內部伺服器,包括使用防火牆網域控制站。
  • 保持最新狀態的所有安全性修補套件。
如需 prescriptively 設定的最佳實務指導Microsoft Windows 2000 為基礎的伺服器,請參閱安全性作業 」 指南,Windows 2000 伺服器。若要查看本指南中,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/en-us/library/dd277322.aspx
如需有關如何持續得到 Windows 2000 Server已經安裝補充程式、 安全的造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/security/current.aspx
或者,您可以使用 Microsoft 的安全性基準分析器。如需有關 Microsoft 安全性基準分析程式請造訪下列 Microsoft 網站:
http://technet.microsoft.com/en-us/security/cc184924.aspx

偵測

若要到目前為止,只有系統會回報給未受這攻擊已執行 Microsoft Windows 2000 Server 的系統。Microsoft 建議客戶掃描其 Windows 2000 Server 為基礎環境來判斷檔案是否,已列在"技術這篇文章的詳細資料 」 區段存在。因為某些檔案可能已經合法安裝,客戶應該要調查它們,以判斷其使用方式和意圖。

復原

有關修復,請連絡 Microsoft 產品支援服務服務藉由使用您慣用的方法。如需有關的方法請連絡 Microsoft 產品支援服務,請造訪下列 Microsoft 網站站台:
http://support.microsoft.com/

其他可行方案

重要這個章節、 方法或工作包含告訴您如何修改登錄的步驟。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,請先備份登錄再進行修改。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄


如果要暫時略過這個問題,您必須重新命名特定檔案,然後修改登錄。若要執行這項操作,請按照以下的步驟。

附註下列步驟都只是暫時的解決方法。這些步驟只移除原始的受感染的效果。這些步驟不會移除電腦之電腦取得最初的任何其他病毒病毒感染了。我們建議您還原作業系統,使用驗證從已知良好一刻,才能在電腦已感染的備份媒體。您可以也會格式化硬碟機、 重新安裝作業系統,然後再藉由使用已驗證從一個已知的良好的備份媒體來還原遺失的資料點。
  1. 在 Windows 2000 電腦上,以滑鼠右鍵按一下工作列上,然後再按一下 應用程式].
  2. 在 [工作管理員] 中,選取 Taskmngr.exe並然後按一下 結束.

    附註請確定您選取 Taskmngr.exe 而不是Taskmgr.exe
  3. 關閉 [工作管理員]。
  4. 藉由使用 Microsoft Windows 檔案總管,找出\WINNT\System32 資料夾。重新命名下列檔案中所包含的只要 [\WINNT\System32] 資料夾 .bak 在結尾處檔名。

    附註有些檔案可能不包含於 \WINNT\System32資料夾。
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.hlp
    • Xvpll.hlp
    • Dll32.hlp
    • Httpsearch.ini
    • Mdm.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • Gg.bat
    • Ocxdll.exe
    附註若要重新命名這些檔案,請依照下列步驟執行:
    1. 在 [\WINNT\System32] 資料夾中,按一下任一滑鼠右鍵按一下 [在] 清單中的檔案 重新命名型別 .bak 結尾的檔案名稱,然後按下 Enter 鍵.

      比方說,您可以重新命名為 Nt32.iniNt32.ini.bak。
    2. 重複執行步驟的處於這每一個檔案清單。
  5. 按一下 啟動按一下 執行,型別 regedit然後按一下[確定].
  6. 在 「 登錄編輯程式中,找出下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. 按一下所參考下的 Taskmngr.exe 的 Rundll32 值下列登錄子機碼,然後再按一下 刪除:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. 如果您有 Windows 2000 網域控制站已經受到 MIRC 特洛伊木馬程式病毒感染,使用 Windows 檔案總管找不到GmpTpl.inf 檔案位於下列資料夾在 Windows 2000 中網域控制站:
    \WINNT\SYSVOL\sysvol\網域名稱\Policies\ {GUID} \MACHINE\Microsoft\Windows NT\SecEdit
    附註在 [此資料夾名稱 網域名稱 是Windows 2000 網域的名稱。
  9. 比較的已知複本的 GmpTpl.inf 檔案GmpTpl.inf 檔案。您可以還原已知的複本的 GmpTpl.inf 檔案透過驗證備份的媒體,從已知的良好點,或使用另一個視窗2000 網域控制站。

    附註MIRC 特洛伊木馬程式病毒可能會變更或新增 SeNetworkLogonRightGmpTpl.inf 檔案中包含的值。

當您完成這些步驟之後,我們建議您使用具有最新的病毒定義,以偵測和移除的防毒軟體MIRC 特洛伊木馬程式病毒。接下來,格式化,然後再重新安裝伺服器時它為您的方便。我們建議您這個動作,因為伺服器已被大打折扣。

屬性

文章編號: 328691 - 上次校閱: 2013年7月20日 - 版次: 5.0
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
關鍵字:?
kbenv kbinfo kbsechack kbmt KB328691 KbMtzh
機器翻譯
請注意--重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,且可能由 Microsoft Community 利用 Community Translation Framework技術或人工進行事後編修。翻譯過程並無專業譯者參與。Microsoft 同時提供使用者人為翻譯、機器翻譯及社群編修後的機器翻譯三種版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,所有翻譯文章都可能不盡完美,內容都可能出現詞彙、語意或文法上的錯誤。就翻譯內容之不正確或錯誤,或客戶因使用翻譯內容所產生的任何損害,微軟不負擔任何責任。Microsoft將依合理的商業努力不斷地更新機器翻譯軟體和工具,以期能為使用者提供更好的服務。
按一下這裡查看此文章的英文版本:328691
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com