الكشف عن الهجوم المتصلة طروادة MIRC وإصلاح

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية328691
ملاحظة
تنطبق هذه المقالة على Windows 2000. الدعم لنظام التشغيل Windows 2000 وينتهي في 13 يوليه 2010. أن مركز الحل الخاص ب Windows 2000 نهاية للدعم نقطة انطلاق لتخطيط استراتيجية الهجرة الخاصة بك من نظام التشغيل Windows 2000. للحصول على مزيد من المعلومات راجع نهج دورة حياة دعم Microsoft.
تمت أرشفة هذه المقالة. وتظهر "كما هي" ولن يتم تحديثها بعد الآن.
الموجز
تحديث: اعتبارا من 6 سبتمبر 2002، تقارير عن نشاط الخبيثة التي المتابعة نمط معين هو المبينة في هذه المادة تكون أخف إلى حد كبير. فريق الأمن خدمات دعم منتج Microsoft وقد تعديل مقالة قاعدة معارف Microsoft هذا يعكس هذه المعلومات و لصقل مقترحات لمعايير كشف وإصلاح.

مايكروسوفت وحقق زيادة في نشاط ضار الذي يحاول تحميل التعليمات البرمجية على الخوادم التي تستند إلى Microsoft Windows 2000. هذا النشاط يرتبط عادة مع برنامج التي تم تحديدها ك Backdoor.IRC.Flood.

قبل تحليل أجهزة الكمبيوتر التي تمت تسويتها، Microsoft قد قرر أن لا تظهر هذه الهجمات استغلال أي الأمن المتعلقة بالمنتجات الجديدة نقاط الضعف، ولا يبدو أن تكون الفيروسية أو تشبه دودة في الطبيعة. بدلاً من ذلك، الهجمات التي تسعى إلى الاستفادة من الأوضاع حيثما القياسية الاحتياطات ولم تؤخذ كما المفصلة في المقطع "الوقاية". النشاط ويبدو أن تترافق مع سلسلة منسقة من محاولات فردية خرق الخوادم التي تستند إلى Windows 2000. وكنتيجة لذلك، حلول توفيقية ناجحة ترك نمط مميز. تسرد هذه المقالة الملفات والبرامج التي من شأنها أن توفير الأدلة لحل توفيقي ناجحة وفقا لهذا النمط حيث أن يمكنك اتخاذ إجراءات مناسبة إلى:
  • الكشف عن أجهزة الكمبيوتر المكسور.
  • إصلاح واستعادة أجهزة الكمبيوتر المكسور.
معلومات أخرى

أثر الهجوم

حل وسط للخادم

الأعراض

نظم الشبهة إظهار واحد أو أكثر من الأعراض التالية:
  • برامج مكافحة الفيروسات قد تشير إلى أنه قد تم الكشف عن أحصنة طروادة، مثل Backdoor.IRC.Flood وأشكاله المختلفة. مكافحة الفيروسات الحالي المنتجات (التي تستخدم ملفات التوقيع مستكملة) كشف هذه أحصنة طروادة.
  • إذا كان الكمبيوتر الشبهة وحدة تحكم مجال، يتم تعديل نهج الأمان. بعض من الآثار المحتملة لمعدله سياسة الأمان:
    • حسابات الضيوف التي كانت معطلة سابقا إعادة تمكين.
    • حسابات غير مصرح بها جديدة، ربما مع الإدارية يتم إنشاء امتيازات،.
    • يتم تغيير أذونات الأمان على ملقمات أو في خدمة active Directory.
    • يتعذر على المستخدمين تسجيل الدخول إلى المجال من محطات العمل.
    • لا يمكن للمستخدمين فتح الأداة الإضافية "Active Directory" في وحدة التحكم بالإدارة ل Microsoft (MMC).
    • عندما يحاول مسؤول فتح النشط دليل مواقع وخدمات الأداة الإضافية، التي تتلقى رسالة الإعلام بالخطأ التالية:
      لا يمكن تحديد موقع معلومات التسمية لأن: الخادم ليست قيد التشغيل. اتصل بمسؤول النظام للتحقق من أن لديك المجال يتم تكوينه بشكل صحيح وأنه قيد الاتصال حاليا.
    • عرض سجلات الأخطاء عدة محاولات تسجيل الدخول الفاشلة من المستخدمين الشرعيين الذين تم تأمينه.
    • عند محاولة تشغيل DCDIAG على وحدة تحكم مجال، يمكنك قد تتلقى واحد أو أكثر من رسائل الخطأ التالية:
      إجراء الإعداد الأولى: ربط LDAP [sic1] فشلت مع الخطأ 31، جهاز المتصل بالنظام لا يعمل.
      إجراء الإعداد الأولى: [ServerName] فشل ربط LDAP مع خطأ 1323، غير قادر على تحديث كلمة المرور. القيمة توفيرها ككلمة المرور الحالية غير صحيحة. * * * خطأ: الجهاز لا يمكن نعلق على وحدة تحكم المجال DC لبيانات الاعتماد غير صحيحة. تحقق من بيانات الاعتماد الخاصة بك أو تحديد بيانات الاعتماد مع/u:<domain>\<user> آند /p:[<password>|*|""]</password></user></domain>
      ملاحظة في رسالة الخطأ هذه، ServerName هو اسم وحدة تحكم المجال.
أيضا، عند محاولة إجراء نسخ احتياطي لحالة النظام على المصابين جهاز الكمبيوتر، قد تظهر رسائل الخطأ التالية في سجل التطبيق على الكمبيوتر حيث تقوم بتنفيذ النسخ الاحتياطي:
معرف الحدث: 8012
المصدر: NTBackup
الوصف:
'Active Directory' عاد 'جهاز المتصل بالنظام لا يعمل.' من دعوة إلى بيانات إضافية 'BackupPrepare()' '\\اسم الكمبيوتر'.
ملاحظة في رسالة الخطأ هذه، اسم الكمبيوتر هو اسم نظام الإدخال/الإخراج الأساسي (NetBIOS) شبكة الاتصال من الكمبيوتر.
معرف الحدث: 1000
المصدر: Userenv
الوصف:
ويندوز لا يمكن تحديد اسم المستخدم أو الكمبيوتر. قيمة الإرجاع (1326)

التفاصيل التقنية

إذا كان قد تم اختراق الكمبيوتر، قد برنامج الحماية من الفيروسات الكشف عن تعليمات برمجية ضارة مثل Backdoor.IRC.Flood وأشكاله المختلفة. لمزيد من المعلومات من المعلومات، اتصل ببائع برامج مكافحة الفيروسات.

وفي الحالات التي Microsoft تم تحليلها، وتم العثور على ملقمات المكسور يكون البرامج والملفات التالية. يشير إلى وجود هذه الملفات تم اختراق النظام. إذا تم العثور على هذه الملفات أو البرامج على الخاص بك جهاز الكمبيوتر، وإذا لم تم تثبيتها من قبلك، أو مع علمك، تشغيل مسح الفيروسات كاملة مع برنامج تفحص فيروسات محدثة.

ملاحظة لا يتم سرد مسارات إلى الملفات لأنها قد تختلف.
  • Gg.bat: يحاول Gg.bat الاتصال إلى ملقمات أخرى المسؤول أو المشرف أو الجذر، يبدو Flashfxp والبرامج Ws_ftp على الملقم, نسخ العديد من الملفات (بما في ذلك Ocxdll.exe) إلى الملقم، ومن ثم يستخدم البرنامج Psexec لتنفيذ الأوامر على الملقم البعيد.
  • Seced.bat: Seced.bat التغييرات الأمنية السياسة العامة.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
وفي حالات أخرى، تم تثبيت البرامج المشروعة قبل المهاجمين للمساعدة في الحل الوسط. إذا تم العثور على هذه البرامج في الخاص بك نظم، وإذا لم تقم بتثبيت لهم، قد يشير إلى حل توفيقي، وكنت وينبغي مواصلة التحقيق.
  • Psexec
  • Ws_ftp
  • Flashfxp
مجموعة نهائية من الملفات المقترنة مع هذه الهجمات زوج من ملفات النظام الشرعية التي تم تثبيتها بشكل روتيني على النظم، ولكن يتم تثبيت إصدارات trojanized منها كجزء من الهجوم. معظم منتجات مكافحة الفيروسات البائعين، عندما تستخدم بالاقتران مع الحالية تواقيع الفيروسات، سيتم الكشف عن trojanized إصدارات هذه الملفات إذا كانت هي موجودة.
  • MDM.exe
  • Taskmngr.exe

موجهات الهجوم

تحليل حتى الآن يشير إلى أن المهاجمين فيما يبدو قد المكتسبة من الدخول إلى أنظمة باستخدام كلمات مرور المسؤول فارغة أو ضعيفة. مايكروسوفت قد لا توجد أدلة تشير إلى أن أي الأمن غير معروف حتى الآن وقد استخدمت نقاط الضعف في هذه الهجمات.

منع

توصي Microsoft العملاء بتوفير حماية ملقماتهم ضد هذا وغيرها من الهجمات عن طريق التأكد من أنها تتبع أفضل المعايير الأمنية الممارسات، مثل:
  • القضاء على المسؤول فارغة أو ضعيفة كلمات المرور.
  • تعطيل حساب الضيف.
  • تشغيل برنامج مكافحة الفيروسات الحالي مع فيروسات محدث تعريفات التوقيع.
  • استخدام الجدران النارية لحماية الملقمات الداخلية، بما في ذلك وحدات التحكم بالمجال.
  • البقاء حتى الآن على كافة تصحيحات الأمان.
للتوجيهات بشأن أفضل الممارسات لتكوين بريسكريبتيفيلي الخوادم التي تستند إلى Microsoft Windows 2000، راجع "دليل العمليات الأمنية" Windows 2000 Server. للاطلاع على هذا الدليل، قم بزيارة موقع Microsoft التالي على الويب: لمزيد من المعلومات حول كيفية الحفاظ على Windows 2000 Server مصححة وآمنة، زيارة موقع Microsoft التالي على الويب: وبدلاً من ذلك، يمكنك استخدام خط الأساس الأمن ل Microsoft محلل. لمزيد من المعلومات حول Microsoft Security Analyzer خط الأساس، قم بزيارة موقع Microsoft التالي على الويب:

الكشف عن

وحتى الآن، أبلغ نظم فقط تأثرت بهذا وقد تم الهجوم الأنظمة التي تقوم بتشغيل نظام التشغيل Microsoft Windows 2000 Server. توصي Microsoft أن العملاء الفحص على المستندة إلى Windows 2000 Server بيئات لتحديد ما إذا كانت الملفات التي يتم سردها في التقنية " وتوجد تفاصيل "قسم من هذه المقالة. لأن بعض الملفات قد يكون مثبت شرعا، العملاء يجب التحقيق معهم لتحديد ما الاستخدام والقصد.

الاسترداد

للحصول على تعليمات مع الانتعاش، اتصل بدعم منتجات Microsoft الخدمات باستخدام الأسلوب المفضل لديك. لمزيد من المعلومات حول أساليب إلى اتصل بخدمات دعم منتج Microsoft، قم بزيارة Microsoft التالية على ويب الموقع:
الحل البديل
هام هذا المقطع أو أسلوب أو المهمة يحتوي على الخطوات التي تخبرك بكيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح. ولذلك، تأكد من اتباع هذه الخطوات بعناية. للحماية الإضافية، احتياطية التسجيل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية إجراء نسخ احتياطي واستعادة التسجيل، انقر فوق رقم المقالة التالي لعرض المقالة في قاعدة معارف Microsoft:
322756 كيفية إجراء نسخ احتياطي واستعادة التسجيل في نظام التشغيل Windows


للتغلب على هذه المشكلة، يجب إعادة تسمية ملفات محددة ثم قم بتعديل التسجيل. للقيام بهذا، اتبع هذه الخطوات.

ملاحظة الخطوات التالية فقط حل مؤقت. هذه الخطوات إزالة آثار العدوى الأصلي فقط. لا تقم بإزالة هذه الخطوات أي فيروسات إضافية أن كان الكمبيوتر التي تم الحصول عليها بعد الكمبيوتر الأول المصابة. ونحن نوصي أن يمكنك استعادة نظام التشغيل باستخدام التحقق وسائط النسخ الاحتياطي من نقطة جيدة معروفة، قبل كان إصابة جهاز الكمبيوتر. يمكنك أيضا تنسيق محرك القرص الثابت، إعادة تثبيت نظام التشغيل، ومن ثم استعادة البيانات المفقودة باستخدام وسائط النسخ الاحتياطي تم التحقق منها من جيدة معروفة نقطة.
  1. على كمبيوتر يستند إلى نظام التشغيل Windows 2000، انقر بالزر الأيمن شريط المهام، ومن ثم انقر فوق إدارة المهام.
  2. في إدارة المهام، حدد Taskmngr.exe، و ثم انقر فوق نهاية.

    ملاحظة تأكد من أن قمت بتحديد Taskmngr.exe وعدمTaskmgr.exe
  3. قم بإغلاق "إدارة المهام".
  4. باستخدام مستكشف Microsoft Windows، حدد موقع المجلد \WINNT\System32. إعادة تسمية الملفات التالية التي ترد في المجلد \WINNT\System32 بكتابة .bak في النهاية اسم الملف.

    ملاحظة بعض هذه الملفات قد لا تكون موجودة في \WINNT\System32 مجلد.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.hlp
    • Xvpll.hlp
    • Dll32.hlp
    • Httpsearch.ini
    • Mdm.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • Gg.bat
    • Ocxdll.exe
    ملاحظة لإعادة تسمية هذه الملفات، اتبع الخطوات التالية:
    1. في المجلد \WINNT\System32، زر الماوس الأيمن فوق أي من الملفات الموجودة في القائمة، انقر فوق إعادة تسمية، نوع .bak في نهاية اسم الملف، ومن ثم اضغط أدخل.

      على سبيل المثال، يمكنك إعادة تسمية Nt32.ini إلى Nt32.ini.bak.
    2. كرر الخطوة أجل كل ملف موجود في هذا قائمة.
  5. انقر فوق بدء تشغيل، انقر فوق تشغيل, نوع regedit، ثم انقر فوقموافق.
  6. في محرر التسجيل، حدد موقع المفتاح الفرعي التالي للتسجيل:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. انقر فوق قيمة Rundll32 تشير Taskmngr.exe تحت مفتاح التسجيل الفرعي التالي، ومن ثم انقر فوق حذف:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. إذا كان لديك وحدة تحكم مجال Windows 2000 التي تم مصابة بفيروس "طروادة ميرك"، استخدم مستكشف Windows لتحديد موقع ملف GmpTpl.inf الموجود في المجلد التالي على نظام التشغيل Windows 2000 وحدة تحكم المجال:
    \WINNT\SYSVOL\sysvol\اسم المجال\Policies\ {المعرف الفريد العمومي} \MACHINE\Microsoft\Windows NT\SecEdit
    ملاحظة في هذا اسم المجلد، اسم المجال هو اسم مجال Windows 2000.
  9. مقارنة الملف GmpTpl.inf بنسخة جيدة معروفة ملف GmpTpl.inf. يمكنك استعادة نسخة جيدة معروفة من الملف GmpTpl.inf عن طريق استخدام التحقق من وسائط النسخ الاحتياطي من نقطة جيدة معروفة أو باستخدام Windows آخر 2000 وحدة تحكم المجال.

    ملاحظة فيروس "طروادة ميرك" قد تغيير أو إضافة سينيتووركلوجونرايت القيمة التي يتم المضمنة في الملف GmpTpl.inf.

بعد إكمال هذه الخطوات، ونحن ننصح باستخدام برنامج الحماية من الفيروسات يحتوي على أحدث تعريفات الفيروسات لكشف وإزالة فيروس طروادة MIRC. وبعد ذلك، تنسيق وثم إعادة تثبيت الملقم أقرب وقت ممكن فإنه ومن المريح لك. نوصي هذا الإجراء لأن الملقم قد تم لما يثير الشبهة.
البرامج الضارة dc

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 328691 - آخر مراجعة: 12/07/2015 12:30:07 - المراجعة: 5.0

Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive kbenv kbinfo kbsechack kbmt KB328691 KbMtar
تعليقات