Nombre de virus: W32 / OPASERV.WORM.m
Alias conocidos: Troj.Win32.KillWin , TROJ_WINKILL.A , Win32.Opaserv.I
Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)
Activación: Por simple conexión a Internet con Windows 95, 98 y Me, compartiendo recursos
Propagación: Por búsqueda de IP aleatorias activas en Internet, infectándolas si no lo evitan
Detección: desde DATS 4239
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de otra variante del virus W32/OPASERV, muy conocido por sus múltiples variantes ya controladas, y que ha incordiado consecuentemente (y sigue y seguirá incordiando) por su técnica de intrusión vía recursos compartidos, y escritura remota en el Win.ini de la carga del mismo en los siguientes reinicios. Hay que resaltar la ALTA PELIGROSIDAD DE ESTA NUEVA VARIANTE, pues a diferencia de las anteriores, esta tiene payload destructivo, borrando los datos del disco duro

Este virus se detiene desde DATS 4239, disponibles en nuestra web www.satinfo.es, siempre y cuando se tenga instalado el SP1 (Service Pack 1) de la Versión 4.5.1 del VIRUSSCAN, y configurado el VSHIELD controlando las Unidades de Red (Ver AL RESPECTO nuestro boletín de SEGURIDAD)

La progresión de este virus, si logra entrar en un ordenador por falta de cualquiera de las condiciones antes indicadas, es la de copiar en el directorio de Windows, el fichero MQBKUP.EXE, y modificar el WIN.INI instalando en la línea RUN = la carga de :\Windows\MQBKUP.EXE, al estilo de la carga de SCRSVR.EXE o BRASIL.EXE, etc de versiones anteriores del OPASERV.

Al estilo de sus anteriores variantes, este virus se propaga a todas las unidades de la red interna, copiando en el directorio de Windows el fichero MQBKUP.EXE y creando la línea de carga en lel RUN del Win.ini, propagando el virus en todas las máquinas que puede de la empresa afectada., (en las que no haya o no esté activo el VSHIELD antes indicado).

La ejecución del fichero gusano creará una nueva clave en el registro de sistema que ejecutará el gusano en cada reinicio, asegurando así su ejecución por este método además de la carga desde el Win.ini

ACTIVACION (PAYLOAD):

El gusano tiene programado crear el fichero el fichero C:\MSLICENF.EXE que borrará los datos del disco duro al ser ejecutado desde el AUTOEXEC.BAT, provocando su ejecución por la creación y ejecución de otro fichero , el BOOT.EXE, que reiniciará el equipo provocando el reinicio y consecuente ejecución del AUTOEXEC, que incluirá la fatídica ejecución del MSLICENCF.EXE, que presentará en pantalla el siguiente mensaje sobre licencia pirata del producto, mientras borrará el disco duro

ELIMINACION:

Para la eliminación del virus, hemos creado la versión 1.6 de nuestra utilidad ELIOPA.EXE , que detendrá el proceso vírico en memoria, borrará los ficheros gusano y las claves del registro de sistema afectadas por el virus, además de restaurar la normalidad en el fichero Win.INI, modificado por el virus), tras lo cual es recomendable instalar en el AUTOEXEC.BAT la carga de versión 1.4 del ELIRUNX.EXE y si ya estaba instalado, actualizar los ficheros ELIOPA.EXE y ELIRUN.EXE por los de la nueva versión.

Es importante que antes de ejecutar cualquier utilidad eliminadora de virus, se desactive el VSHIELD residente, lo cual se logra fácilmente pulsando con el Botón derecho sobre el icono del VSHIELD, dentro de la barra de INICIO, e indicar SALIR.

Para descargar las utilidad correspondiente: :

Pulsar aquí para bajar el ELIOPA.EXE (versión 1.6 ó superior)

Pulsar aquí para bajar el ELIRUNX.EXE (versión 1.4 ó superior)

SATINFO, VIRUSCAN SPAIN SERVICE 24 de Diciembre de 2002

Anterior