SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | Anterior | ||
W32/Opaserv.worm: Nuevo Gusano
de ALTA PROPAGACIÓN
Nombre de virus: W32/Opaserv.worm
Alias conocidos: Backdoor.Opasoft
Riesgo Infección: Alto (Bajo,
Medio, Alto, Muy Alto)
Activación: Por
ejecución de fichero infectado ScrSvr.exe
Propagación: A través de comparticiones de red
Detección: desde DATS
4226
Motor necesario: desde 4.1.60
Infección actual: Media (Inicial, Media, Elevada)
W32/Opaserv@MM es un gusano que intenta propagar a través de la red, creando una copia de sí mismo en la carpeta INICIO de sistemas remotos, o en el directorio WINDOWS así como una sentencia run en el fichero WIN.INI, para cargar el gusano en cada reinicio del sistema.
Cuando se ejecuta, crea una copia de sí mismo en %WinDir%\ScrSvr.exe. Luego genera la siguiente clave de registro de sistema para provocar la ejecución del gusano al iniciar el ordenador:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"ScrSvr" = %WinDir%\ScrSvr.exe
El código de w32/Opaserv@MM contiene errores que impiden su replicación en sistemas WindowsNT/2K/XP, por lo que se limita a sistemas Windows95/98/ME.
INFORMACION SOBRE NUEVAS VARIANTES DEL VIRUS W32/OPASERV.WORM Y UTILIDADES
Tras la aparición del virus W32/Opaserv.worm, detectado como Backdoor ALB desde el mismo día de su aparición, con DATS 4226, y como w32/Opaserv con DATS 4227, 4228 y 4229, han aparecido nuevas variantes, muy parecidas pero encriptadas y comprimidas, para que no sean reconocidas por la misma secuencia que el original, pasando a ser detectadas desde versión de DATS 4230, disponible el 24-10-2002 (o a partir de SDATDAILY.EXE de fecha 21.10.03), y que dada la propagación del w32/Opaserv original a través de recursos compartidos, bien por ausencia de los DATS correspondientes o por no tener aplicado el SERVICE PACK 1 para el VIRUSCAN versión 4.5.1, (incluído en el CDROM 4200 del pasado mes de Mayo 02, y disponible en nuestra web, www.satinfo.es, sp1-vsc451-sp.zip).
Un efecto que se aprecia, al estar infectado con alguna de las últimas variantes conocidas de este virus, es que al iniciar Windows, los ordenadores intentan conectar a Internet, sin que el usuario lo pretenda, y el objetivo es buscar ordenadores conectados a Internet, con direcciones IP de su rango, a los que enviarles el gusano a través de recursos compartidos.
Si se ha introducido dicho virus, bien por falta de los nuevos DATS o por falta del SP1, o por la falta de los dos al mismo tiempo, ofrecemos dos nuevas utilidades con las que eliminar el gusano y las claves, así como borrar del WIN.INI la línea de carga del mismo, en cualquiera de sus variantes conocidas hasta el momento, la primera que utiliza el fichero SCRSVR.EXE, y las siguientes como BRASIL.PIF, BRASIL.EXE, ALEVIR.EXE y PUTA!!.EXE
Con la ejecución de la utilidad ELIOPA.EXE (con el antivirus desactivado) se eliminará el proceso del virus en sus variantes conocidas ariba mencionadas, y a continuación se eliminará el gusano (además de restaurarse la clave del registro de sistema modificada por el virus) y borrará la línea de carga del gusano en RUN = del WIN.INI (Para las variantes arriba indicadas). La ejecución de este fichero, también crea en C:\ el fichero ELIRUNX.EXE, y modifica el AUTOEXEC.BAT para que se cargue en cada inicio del sistema.
Además ofrecemos el ELIRUNX.EXE, que facilitará la eliminación de la línea de carga del virus en el WIN.INI, aunque el virus no hubiera podido entrar, o ya hubiera sido eliminado, y que podrá colocarse en la primera línea del AUTOEXEC.BAT para que, cada vez que se arranque el ordenador, se examine el WIN.INI y, en el caso de existir dicha carga de cualquiera de las variantes del gusano, ya se borre o se inhabilite dicha línea.
En previsión de que aparezcan nuevas variantes de w32/Opaserv.worm,
a partir de la versión 1.1 de nuestra utilidad ELIRUNX.EXE , se puede
indicar como parámetro a ELIRUNX.EXE el nuevo nombre de fichero a eliminar. Por
ejemplo, la sintaxis ELIRUNX.EXE PUTA!!.EXE
eliminaría la llamada al fichero PUTA!!.EXE de la línea RUN=
dentro del WIN.INI.
Novedades que incorporan las nuevas
versiones de nuestras utilidades
La versión 1.3 de ELIOPA.EXE, además de controlar las cinco variantes
conocidas hasta ahora del gusano, permite eliminar el proceso de memoria, la llamada
del registro de sistema, la referencia existente en el WIN.INI, la copia del
fichero-gusano creada en la carpeta C:\Windows,
también los nuevos gusanos que puedan aparecer de tan
prolífica familia, de manera que si una nueva variante crea el GUSANO2 o el GUSANO3, podrá ser eliminado ejecutando ELIOPA
GUSANO2.EXE GUSANO3.EXE, debiendo indicarse la
extensión, pues conocemos que los actuales usan PIF y
EXE, pero las futuras podrían ser .SCR, .BAT, .LNK, etc, y será necesario indicar su nombre y extensión completos, separados de
un espacio si además de los ya controlados, hay
varios mas conocidos a eliminar.
Recordamos una vez mas que una vez eliminados de todos los ordenadores de la red interna, estos virus querrán volver a entrar desde Internet, pues todos los que han sido infectados desde su IP, por tener rango próximo, serán los que nos devolverán la pelota, por ser ahora ellos los que buscarán IP de su rango y encontrarán la nuestra (los sistemas ADSL acostumbran a tener IP fijas), además de otros ordenadores infectados en Internet.
Si se detecta el intento de entrada y el VSHIELD intercepta un gusano de esta familia, evidentemente deberá indicarse DETENER, impidiendo su entrada.
Los cortafuegos impiden el acceso de estos
virus vía recursos compartidos (NetBIOS), sean
cuales fueran sus variantes, procedencia y puerto usado, además de sus funciones de garantizar provacidad y
antiintrusismo. Ver ALPHASHIELD
Todas estas utilidades las encontrarán en DESCARGAS de UTILIDADES DE SATINFO dentro de nuestra web www.satinfo.es, donde ya hay mas de 100 que permiten complementar al antivirus McAfee facilitando su instalación/desinstalación, así como la eliminación, restauración o incluso recuperación de ficheros, claves de registro, sectores de arranque, etc, modificados por los virus.
Ante cualquier duda o necesidad de aclaración, pueden contactar con nuestro HOT LINE 93 4590100 o por e-mail a sat@satinfo.es
SATINFO, VIRUSCAN SPAIN SERVICE 28 de Octubre de 2002
