現在オフラインです。再接続するためにインターネットの接続を待っています

MIRC トロイの木馬に関連する攻撃の検出と修復

この記事は、以前は次の ID で公開されていました: JP328691
概要
更新 : 2002 年 9 月 6 日現在、この資料に記載されているような特定のパターンに従う悪質な活動の報告は著しく減少しました。Microsoft Product Support Services Security Team は、この情報を反映し、検出と修復の基準に関する推奨事項をより良いものとするために、このサポート技術情報を変更しました。

マイクロソフトは、Microsoft Windows 2000 ベースのサーバーでコードを実行しようとする悪質な活動が増加していることについて調査しました。この活動は、通常、Backdoor.IRC.Flood として認識されているトロイの木馬に関連したものです。

被害を受けたコンピュータを分析することにより、マイクロソフトはこれらの攻撃が新しい製品に関連するセキュリティ上の脆弱性を悪用するものではないこと、また実際にはウイルスやワームのようなものではないことを確認しました。しかし、この資料の「予防方法」に記載されているような一般的な対策が講じられていない場合は、この脆弱性がねらわれます。この操作は Windows 2000 ベースのサーバーの侵害を目的とした複数の攻撃を組み合わせることにより行われる可能性があります。このため、侵入が行われた結果として、特徴的なパターンが残されています。この資料では、次のような適切な処置を講じることができるように、このパターンに従った侵入の証拠を示す可能性があるファイルおよびプログラムの一覧を示します。
  • 侵害されたコンピュータの検出
  • 侵害されたコンピュータの修復および回復
詳細

攻撃による被害

サーバーの侵害

現象

侵害を受けたシステムでは、以下のような現象が 1 つ以上発生します。
  • ウイルス対策ソフトウェアによって、Backdoor.IRC.Flood などのトロイの木馬や、その亜種が検出される可能性があります。最新のシグネチャ ファイルを使用する現在のウイルス対策製品では、これらのトロイの木馬が検出されます。
  • 侵害されたコンピュータがドメイン コントローラの場合、セキュリティ ポリシーが改ざんされます。セキュリティ ポリシーが改ざんされると、以下のような現象が発生することがあります。
    • 以前無効にした Guest アカウントが再び有効になる。
    • 新しい無許可のアカウントが作成される (アカウントは管理者権限を持つ場合があります)。
    • サーバーまたは Active Directory でセキュリティのアクセス許可が変更される。
    • ユーザーがワークステーションからドメインにログオンできない。
    • ユーザーが Microsoft 管理コンソール (MMC) で Active Directory のスナップインを開けない。
    • 管理者が Active Directory サイトとサービス スナップインを開こうとすると、次のエラー メッセージが表示される。
      名前付け情報を検索できません。理由: サーバーは使用可能ではありません。システム管理者に問い合わせ、ドメインが正しく構成されていて、現在オンラインであるかどうかを確認してください。
    • ロックアウトされた正規のユーザーがログオン試行に何度も失敗したことを示すエラー ログが記録されている。
    • ドメイン コントローラで DCDIAG を実行しようとすると、以下のエラー メッセージが 1 つ以上表示されることがある。
      Performing initial setup: [sic1] LDAP bind failed with error 31, a device attached to the system is not functioning.
      Performing initial setup: [ServerName] LDAP bind failed with error 1323, unable to update the password. The value provided as the current password is incorrect. ***Error: The machine could not attach to the DC because the credentials were incorrect. Check your credentials or specify credentials with /u:<domain>\<user> & /p:[<password>|*|""]
      : このエラー メッセージの ServerName は、ドメイン コントローラの名前です。
また、感染したコンピュータでシステム状態をバックアップしようとすると、バックアップを実行しているコンピュータのアプリケーション ログに次のエラー メッセージが記録されることがあります。
イベント ID : 8012
ソース : NTBackup
説明 :
'Active Directory' は 'システムに接続されたデバイスが機能していません。' を 'BackupPrepare()' の呼び出しから返しました。追加のデータ '\\ComputerName'
: このエラー メッセージの ComputerName は、コンピュータの NetBIOS (Network Basic Input/Output System) 名です。
イベント ID : 1000
ソース : Userenv
説明 :
ユーザーまたはコンピュータ名を判断できません。戻り値は (1326) です。

技術上の詳細

コンピュータが侵害されると、ウイルス対策ソフトウェアによって Backdoor.IRC.Flood やその亜種などの悪質なコードが検出されることがあります。詳細については、ウイルス対策ソフトウェア ベンダに問い合わせてください。

マイクロソフトが分析したケースでは、侵害されたサーバーには次のファイルやプログラムが存在することが確認されました。これらのファイルが存在する場合、システムが侵害されたことを示します。コンピュータにこれらのファイルまたはプログラムが存在し、これらを以前にインストールした覚えがない場合、最新のウイルス スキャン プログラムで完全なウイルス スキャンを実行してください。

: 環境によって異なるため、ここではこれらのファイルへのパスの一覧は示しません。
  • Gg.bat : Gg.bat は、他のサーバーに administrator、admin、または root として接続を試みます。その後、サーバー上で Flashfxp や Ws_ftp というプログラムを探し、Ocxdll.exe などのいくつかのファイルをサーバーにコピーした後、Psexec プログラムを使用して、リモート サーバー上でコマンドを実行します。
  • Seced.bat : Seced.bat は、セキュリティ ポリシーを変更します。
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
その他のケースでは、攻撃者によって、侵害を補助するために正規のプログラムがインストールされる場合があります。使用中のシステムでこれらのプログラムが発見され、これらを以前にインストールしていない場合、侵害されている可能性があるため、さらに調査を行う必要があります。
  • Psexec
  • Ws_ftp
  • Flashfxp
これらの攻撃に関連するファイルとして最後に示す以下のファイル 2 つは、システムに日常的にインストールされている正規のシステム ファイルですが、攻撃の一環としてインストールされるトロイの木馬バージョンです。これらのファイルのトロイの木馬バージョンが存在している場合、最新のウイルス シグネチャを使用していれば、ほとんどのウイルス対策ベンダの製品で検出されます。
  • MDM.exe
  • Taskmngr.exe

攻撃の経路

現在までの分析によると、攻撃者は、脆弱な管理者パスワードや空白の管理者パスワードを使用することによりシステムに侵入していることが判明しています。マイクロソフトは、今までに未知のセキュリティ上の脆弱性が攻撃で悪用されたことを示す証拠を保有していません。

予防方法

マイクロソフトでは、次のような標準的なセキュリティ上の最善策を確実に講じることにより、使用中のサーバーをこの攻撃やその他の攻撃から保護することを推奨します。
  • 空白または脆弱な管理者パスワードを排除する。
  • Guest アカウントを無効にする。
  • 現在のウイルス対策ソフトウェアを最新のウイルス シグネチャ定義を使用して実行する。
  • ファイアウォールを使用して、ドメイン コントローラなどの内部サーバーを保護する。
  • すべてのセキュリティ更新プログラムを適用し、最新の状態を保つ。
Microsoft Windows 2000 ベースのサーバーの模範的な構成のための推奨事項については、「Windows 2000 Server セキュリティ運用ガイド」を参照してください。このガイドを参照するには、次のマイクロソフト Web サイトにアクセスしてください。 Windows 2000 Server に修正プログラムを適用して安全な状態に保つ方法の詳細については、次のマイクロソフト Web サイトを参照してください。 別の方法として、Microsoft Security Baseline Analyzer を使用することもできます。Microsoft Security Baseline Analyzer の詳細については、次のマイクロソフト Web サイトを参照してください。

検出

現時点で、この攻撃の影響を受けたことが報告されているシステムは Microsoft Windows 2000 Server を実行しているシステムだけです。マイクロソフトでは、Windows 2000 Server ベースの環境をスキャンし、この資料の「技術上の詳細」に記載されているファイルが存在するかどうかを確認することをユーザーに推奨します。一部のファイルは正規にインストールされている場合があるため、それらのファイルを調査し、その使用状況と用途を確認する必要があります。

復旧方法

復旧方法については、利用しやすい方法で Microsoft Product Support Services に問い合わせてください。Microsoft Product Support Services への連絡方法の詳細については、次のマイクロソフト Web サイトを参照してください。
回避策
警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

この問題を回避するには、特定のファイルの名前を変更してから、レジストリを変更する必要があります。これを行うには、次の手順を実行します。

: 以下の手順は、一時的な解決方法にすぎません。これらの手順では、元の感染による影響だけが除去されます。コンピュータが最初に感染した後で受けた追加のウイルスは削除されません。検証済みのバックアップ メディアを使用して、コンピュータが感染する前の、正常であることが判明しているポイントからオペレーティング システムを復元することを推奨します。また、ハード ディスク ドライブをフォーマットし、オペレーティング システムを再インストールしてから、検証済みのバックアップ メディアを使用して、正常であることが判明しているポイントから損失したデータを復元することもできます。
  1. Windows 2000 ベースのコンピュータで、タスク バーを右クリックし、[タスク マネージャ] をクリックします。
  2. タスク マネージャで、[プロセス] タブの [Taskmngr.exe] をクリックし、[プロセスの終了] をクリックします。

    : [Taskmgr.exe] ではなく、[Taskmngr.exe] をクリックしていることを確認してください。
  3. タスク マネージャを閉じます。
  4. エクスプローラを使用して、\WINNT\System32 フォルダを見つけます。ファイル名の末尾に .bak と入力することによって \WINNT\System32 フォルダに格納されている、次のファイルの名前を変更します。

    : これらのファイルの一部は、\WINNT\System32 フォルダに格納されていないことがあります。
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.hlp
    • Xvpll.hlp
    • Dll32.hlp
    • Httpsearch.ini
    • Mdm.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • Gg.bat
    • Ocxdll.exe
    : これらのファイルの名前を変更するには、次の手順を実行します。
    1. \WINNT\System32 フォルダで、上記の一覧のいずれかのファイルを右クリックし、[名前の変更] をクリックします。次にファイル名の末尾に .bak と入力し、Enter キーを押します。

      たとえば、Nt32.ini を Nt32.ini.bak に変更します。
    2. 上記の一覧に存在する各ファイルについて、この手順を繰り返します。
  5. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。regedit と入力し、[OK] をクリックします。
  6. レジストリ エディタで、次のレジストリ サブキーを見つけます。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. 次のレジストリ サブキーの下で、Taskmngr.exe を参照している Rundll32 という値をクリックし、[削除] をクリックします。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. Windows 2000 ドメイン コントローラが MIRC トロイの木馬ウイルスに感染している場合は、エクスプローラを使用して、Windows 2000 ドメイン コントローラの次のフォルダにある GmpTpl.inf ファイルを見つけます。
    \WINNT\SYSVOL\sysvol\DomainName\Policies\{GUID}\MACHINE\Microsoft\Windows NT\SecEdit
    : このフォルダ名の DomainName は、Windows 2000 ドメインの名前です。
  9. GmpTpl.inf ファイルを、正常な GmpTpl.inf ファイルのコピーと比較します。正常な GmpTpl.inf ファイルのコピーは、検証済みのバックアップ メディアを使用して、正常であることが判明しているポイントから復元するか、別の Windows 2000 ドメイン コントローラを使用して復元できます。

    : MIRC トロイの木馬ウイルスにより、GmpTpl.inf ファイルに格納されている SeNetworkLogonRight 値が変更または追加されることがあります。

上記の手順を実行した後で、最新のウイルス定義が存在するウイルス対策ソフトウェアを使用して、MIRC トロイの木馬ウイルスの検出および削除を行うことを推奨します。その後、なるべく早い適当な時期にサーバーをフォーマットして再インストールしてください。サーバーが侵害されているため、この作業を行うことを推奨します。
dc malware
プロパティ

文書番号:328691 - 最終更新日: 10/19/2005 08:24:22 - リビジョン: 4.1

  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional
  • kbenv kbinfo kbsechack KB328691
フィードバック