MIRC liên quan đến Trojan tấn công phát hiện và sửa chữa

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 328691
Chú ý
Bài viết này áp dụng cho Windows 2000. Hỗ trợ cho Windows 2000 kết thúc vào ngày 13 tháng 7 năm 2010. Các Trung tâm giải pháp cuối cùng hỗ trợ Windows 2000 là một điểm khởi đầu để lập kế hoạch chiến lược của bạn di chuyển từ Windows 2000. Để biết thêm thông tin xem các Chính sách vòng đời hỗ trợ của Microsoft.
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
Tóm tắt
Cập Nhật: theo ngày 6 tháng 9 năm 2002, các báo cáo của các hoạt động độc hại mà theo các mô hình cụ thể được nêu trong bài viết này đã giảm đi đáng kể. nhóm bảo mật Microsoft bản ghi dịch vụ Hỗ trợ Sản phẩm có lần này bài viết Cơ sở tri thức Microsoft để phản ánh thông tin này và để tinh chỉnh các đề xuất cho phát hiện và sửa chữa các tiêu chí.

Microsoft đã nghiên cứu sự gia tăng trong hoạt động độc hại cố gắng để tải mã trên Máy chủ Dựa trên Microsoft Windows 2000. Hoạt động này là thường gắn liền với một chương trình mà đã được xác định là Backdoor.IRC.Flood.

Bởi phân tích các máy tính đã bị tổn hại, Microsoft đã xác định rằng Các cuộc tấn công không xuất hiện để khai thác bất kỳ bảo mật liên quan đến sản phẩm mới lỗ hổng và dường như không có virus hoặc sâu như trong tự nhiên. Thay vào đó, Các cuộc tấn công tìm cách để chiếm ưu thế của các tình huống nơi tiêu chuẩn biện pháp phòng ngừa đã không được thực hiện chi tiết trong phần "Phòng ngừa". Các hoạt động dường như được kết hợp với một loạt các nỗ lực cá nhân để phối hợp thỏa hiệp năm 2000 Windows dựa trên máy chủ. Như một kết quả, thành công thỏa hiệp để lại một mô hình đặc biệt. Bài viết này liệt kê các tệp và chương trình sẽ cung cấp bằng chứng của một sự thỏa hiệp thành công theo mô hình này để bạn có thể có các hành động thích hợp để:
  • Phát hiện các máy tính bị xâm phạm.
  • Sửa chữa và phục hồi máy tính bị xâm phạm.
Thông tin thêm

Tác động của cuộc tấn công

Sự thỏa hiệp của máy chủ

Triệu chứng

Thỏa hiệp hệ thống hiển thị một hoặc nhiều các triệu chứng sau đây:
  • Phần mềm chống virus có thể chỉ ra rằng nó đã phát hiện Trojans, chẳng hạn như Backdoor.IRC.Flood và các biến thể. Hiện tại chống virus sản phẩm (sử dụng tập tin chữ ký Cập Nhật) phát hiện các Trojan.
  • Nếu các máy tính bị xâm phạm là một bộ điều khiển tên miền, các chính sách bảo mật được sửa đổi. Một số những tác động có thể của một lần chính sách bảo mật là:
    • Đánh các tài khoản đã bị vô hiệu hoá trước đây bật lại.
    • Tài khoản trái phép mới, có thể với hành chính quyền được tạo ra.
    • mức cấp phép bảo mật được thay đổi trên máy chủ hoặc trong mục tin thư thoại hoạt động.
    • Người dùng không thể kí nhập vào tên miền từ các máy trạm.
    • Người dùng không thể mở mục tin thư thoại hoạt động snap-in trong Microsoft Management Console (MMC).
    • Khi quản trị viên cố gắng để mở các hoạt động mục tin thư thoại các web site và bản ghi dịch vụ bám-theo, bạn nhận được thông báo lỗi sau:
      Đặt tên thông tin không thể được đặt bởi vì: hệ phục vụ không phải là hoạt động. Liên hệ với người người quản trị hệ thống để xác minh rằng bạn tên miền được cấu hình đúng và là hiện nay đang online.
    • Bản ghi lỗi hiển thị nhiều nỗ lực kí nhập thất bại từ hợp pháp người dùng đã bị khóa trong.
    • Khi bạn cố gắng chạy DCDIAG trên một bộ điều khiển tên miền, bạn có thể nhận được một hoặc nhiều của các thông báo lỗi sau đây:
      Thực hiện các thiết lập ban đầu: [sic1] LDAP giới hạn trên đã thất bại với lỗi 31, một thiết bị gắn vào hệ thống không hoạt động.
      Thực hiện các thiết lập ban đầu: [Tên_máy_phục_vụ] giới hạn trên LDAP thất bại với lỗi 1323, không thể cập nhật mật khẩu. Giá trị cung cấp mật khẩu hiện thời là không chính xác. *** Lỗi: Các máy tính có thể không đính kèm các DC vì các thông tin không chính xác. Kiểm tra ủy nhiệm của bạn hoặc chỉ định thông tin kí nhập với /u:<domain>\<user> & /p:[<password>|*|""]</password></user></domain>
      Lưu ý Trong thông báo lỗi này, Tên_máy_phục_vụ là tên bộ điều khiển tên miền.
Ngoài ra, khi bạn cố gắng sao lưu trạm đậu hệ thống trên các bị nhiễm bệnh máy tính, các thông báo lỗi sau đây có thể xuất hiện trong Nhật ký ứng dụng vào các máy tính mà bạn đang thực hiện sao lưu:
ID sự kiện: 8012
Nguồn: NTBackup
Mô tả:
'Active Directory' trở về 'một thiết bị gắn liền với hệ thống không hoạt động.' từ một cuộc gọi đến Dữ liệu bổ sung 'BackupPrepare()' '\\ComputerName'.
Lưu ý Trong thông báo lỗi này, ComputerName là tên cơ bản đầu vào/đầu ra hệ thống (NetBIOS) mạng của máy tính.
ID sự kiện: 1000
Nguồn: Userenv
Mô tả:
Cửa sổ không thể xác định tên người dùng hay máy tính. Giá trị trả lại (1326)

Chi tiết kỹ thuật

Nếu máy tính đã bị xâm phạm, chống vi-rút phần mềm có thể phát hiện các mã độc hại như Backdoor.IRC.Flood và các biến thể. Để biết thêm thông tin, liên hệ với đại lý chống vi-rút của bạn.

Trong trường hợp đó Microsoft đã phân tích, các máy chủ bị xâm phạm đã được tìm thấy có các chương trình và tập tin sau đây. Sự hiện diện của những tập tin này chỉ ra rằng các Hệ thống đã bị xâm phạm. Nếu các tệp hoặc chương trình được tìm thấy trên của bạn máy tính, và nếu họ đã không được cài đặt chuyên biệt của bạn hoặc với kiến thức của bạn, chạy một quét vi-rút hoàn chỉnh với một vi-rút Cập Nhật chức năng quét chương trình.

Lưu ý Đường dẫn đến các tập tin không được liệt kê bởi vì họ có thể khác nhau.
  • GG.bat: Gg.bat cố gắng để kết nối với các máy chủ khác như quản trị viên, quản trị hoặc gốc, tra cứu Flashfxp và chương trình Ws_ftp Hệ phục vụ, sao chép tập tin một số (bao gồm cả Ocxdll.exe) đến máy chủ, và sau đó sử dụng chương trình Psexec để thực thi lệnh trên máy chủ từ xa.
  • Seced.bat: Seced.bat thay đổi an ninh chính sách.
  • Nt32.ini
  • Ocxdll.exe
  • Gates.txt
  • Task32.exe
Trong trường hợp khác, các chương trình hợp pháp đã được cài đặt chuyên biệt bởi các kẻ tấn công để hỗ trợ trong các thỏa hiệp. Nếu các chương trình này được tìm thấy trên của bạn Hệ thống, và nếu bạn không cài đặt chuyên biệt chúng, nó có thể cho thấy một sự thỏa hiệp, và bạn nên điều tra thêm.
  • Psexec
  • Ws_ftp
  • FlashFXP
Một tập cuối cùng của các tập tin được liên kết với các cuộc tấn công một cặp hợp pháp hệ thống tệp thường xuyên được cài đặt chuyên biệt trên hệ thống, nhưng trojanized Phiên bản trong đó được cài đặt chuyên biệt như một phần của cuộc tấn công. Hầu hết sản phẩm nhà cung cấp chống vi-rút, khi họ được sử dụng kết hợp với hiện hành dấu kiểm hiệu vi rút, sẽ phát hiện trojanized các phiên bản của những tập tin này nếu họ đang có hiện nay.
  • MDM.exe
  • Taskmngr.exe

Tấn công vectơ

Các phân tích đến nay cho thấy rằng những kẻ tấn công xuất hiện để có đã đạt được vào hệ thống bằng cách sử dụng mật khẩu quản trị viên yếu hoặc trống. Microsoft không có bằng chứng cho thấy rằng bất kỳ an ninh trước đây không rõ lỗ hổng đã được sử dụng trong các cuộc tấn công.

Công tác phòng chống

Microsoft khuyến cáo rằng khách bảo vệ máy chủ của họ chống lại Điều này và các cuộc tấn công bằng cách đảm bảo rằng họ thực hiện theo tiêu chuẩn bảo mật tốt nhất ««thực hành, chẳng hạn như:
  • Loại bỏ trống hay yếu người quản trị mật khẩu.
  • Tắt trương mục khách.
  • Chạy phần mềm chống vi-rút hiện tại với up-to-virus định nghĩa chữ ký.
  • Bằng cách sử dụng tường lửa bảo vệ máy chủ nội bộ, bao gồm cả bộ bộ kiểm soát miền.
  • Ở lại đến nay trên tất cả các bản vá bảo mật.
Để được hướng dẫn về các thực hành tốt nhất để prescriptively cấu hình Máy chủ Dựa trên Microsoft Windows 2000, hãy xem hướng dẫn hoạt động an ninh cho Windows 2000 Server. Để xem hướng dẫn này, ghé thăm Web site sau của Microsoft: Để biết thêm thông tin về làm thế nào để giữ Windows 2000 Server vá và bảo mật, ghé thăm Web site sau của Microsoft: Ngoài ra, bạn có thể sử dụng cơ sở bảo mật của Microsoft Phân tích. Để biết thêm thông tin về phân tích cơ sở bảo mật của Microsoft, Hãy ghé thăm Web site sau của Microsoft:

Phát hiện

Đến nay, các hệ thống chỉ báo cáo đã bị ảnh hưởng bởi điều này cuộc tấn công đã là hệ thống đang chạy Microsoft Windows 2000 Server. Microsoft khuyến cáo rằng khách quét của họ dựa trên Windows 2000 Server Các môi trường để xác định nếu các tập tin liệt kê trong "kỹ thuật Chi tiết"phần của bài viết này tồn tại. Bởi vì một số tệp có thể đã cách hợp pháp cài đặt chuyên biệt, khách hàng nên điều tra họ để xác định của họ sử dụng và mục đích.

Phục hồi

Để được trợ giúp phục hồi, liên hệ với hỗ trợ sản phẩm của Microsoft bản ghi dịch vụ bằng cách sử dụng phương pháp ưa thích của bạn. Để biết thêm thông tin về phương pháp để liên hệ với bản ghi dịch vụ Hỗ trợ Sản phẩm của Microsoft, hãy truy cập Microsoft sau đây Web Trang web:
Cách giải quyết khác
Quan trọng Phần, phương pháp, hoặc công việc có bước mà cho bạn biết làm thế nào để sửa đổi sổ kiểm nhập. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ bổ sung, sao lưu sổ kiểm nhập trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ kiểm nhập nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ kiểm nhập, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Làm thế nào để sao lưu và khôi phục sổ kiểm nhập trong Windows


Để khắc phục vấn đề này, bạn phải đổi tên cụ thể tập tin và sau đó sửa đổi sổ kiểm nhập. Để làm điều này, hãy làm theo các Các bước.

Lưu ý Các bước sau đây là chỉ là một giải pháp tạm thời. Các bước sau chỉ loại bỏ những ảnh hưởng của sự lây nhiễm ban đầu. Các bước này không loại bỏ bất kỳ vi rút thêm máy thu được sau khi máy tính đầu tiên bị nhiễm bệnh. Chúng tôi đề nghị rằng bạn khôi phục lại hệ điều hành bằng cách sử dụng xác nhận phương tiện sao lưu từ một điểm tốt được biết đến, trước khi máy tính đã bị nhiễm. Bạn có thể cũng có thể định dạng ổ đĩa cứng, cài đặt chuyên biệt lại hệ điều hành, và sau đó khôi phục dữ liệu bị mất bằng cách sử dụng phương tiện sao lưu xác nhận từ một tốt được biết đến điểm.
  1. Trên máy tính dựa trên Windows 2000, Bấm chuột phải vào các thanh công cụ, và sau đó bấm vào Quản lý tác vụ.
  2. Trong Task Manager, chọn Taskmngr.exe, và sau đó nhấp vào Kết thúc.

    Lưu ý Hãy chắc chắn rằng bạn chọn Taskmngr.exe và khôngTaskmgr.exe
  3. Gần quản lý tác vụ.
  4. Bằng cách sử dụng Microsoft Window Explorer, xác định vị trí các \WINNT\System32 mục tin thư thoại. Đổi tên các tập tin sau đây được chứa trong các \WINNT\System32 mục tin thư thoại bằng cách gõ .Bak ở phần cuối của các tập đã đặt tên tin.

    Lưu ý Một số trong những tập tin này có thể không được chứa trong \WINNT\System32 mục tin thư thoại.
    • Nt32.ini
    • Nt16.ini
    • Dll32nt.HLP
    • Xvpll.HLP
    • Dll32.HLP
    • Httpsearch.ini
    • MDM.scr
    • Gates.txt
    • Taskmngr.exe
    • Secedit.sdb
    • Seced.bat
    • Ocx.dll
    • Dll16.ini
    • GG.bat
    • Ocxdll.exe
    Lưu ý Để đổi tên các tệp này, hãy làm theo các bước sau:
    1. Bấm chuột phải trong mục tin thư thoại \WINNT\System32, vào bất cứ các các tập tin trong danh sách, bấm vào Đổi tên, loại .Bak vào cuối của tên tệp, và sau đó bấm Nhập.

      Ví dụ, bạn có thể thay đổi tên Nt32.ini để Nt32.ini.Bak.
    2. Lặp lại bước một cho mỗi tập tin trong này danh sách.
  5. Bấm chuột Bắt đầu, bấm vào Chạy, loại regedit, và sau đó nhấp vàoOk.
  6. Trong Registry Editor, xác định vị trí registry subkey sau đây:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  7. Click vào giá trị Rundll32 Taskmngr.exe theo tài liệu tham khảo registry subkey sau đây, và sau đó bấm vào Xóa:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  8. Nếu bạn có bộ kiểm soát miền Windows 2000 có bị nhiễm vi rút MIRC Trojan, sử dụng Window Explorer để xác định vị trí các GmpTpl.inf tập tin nằm trong mục tin thư thoại sau đây trên Windows 2000 điều khiển tên miền:
    \WINNT\SYSVOL\sysvol\DomainName\Policies\ {}GUID} \MACHINE\Microsoft\Windows NT\SecEdit
    Lưu ý Trong tên mục tin thư thoại này, DomainName là các tên miền Windows 2000.
  9. So sánh các tập tin GmpTpl.inf một đồng gửi tốt được biết đến của các GmpTpl.inf tập tin. Bạn có thể khôi phục lại một đồng gửi tốt được biết đến của các tập tin GmpTpl.inf bởi sử dụng xác minh phương tiện sao lưu từ một quan điểm được biết đến hoặc bằng cách sử dụng một cửa sổ bộ bộ kiểm soát miền năm 2000.

    Lưu ý Vi rút MIRC Trojan có thể thay đổi hoặc thêm SeNetworkLogonRight giá trị nằm trong tập tin GmpTpl.inf.

Sau khi bạn hoàn tất các bước, chúng tôi khuyên bạn nên dùng phần mềm chống vi-rút có các định nghĩa virus mới nhất để phát hiện và loại bỏ vi rút MIRC Trojan. Sau đó, định dạng và sau đó cài đặt chuyên biệt lại các hệ phục vụ ngay sau khi nó là thuận tiện cho bạn. Chúng tôi khuyên bạn nên hành động này bởi vì các máy chủ đã bị tổn hại.
phần mềm gây hại DC

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 328691 - Xem lại Lần cuối: 12/07/2015 12:30:18 - Bản sửa đổi: 3.0

Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows 2000 Professional Edition

  • kbnosurvey kbarchive kbenv kbinfo kbsechack kbmt KB328691 KbMtvi
Phản hồi