Symantec

W32.Opaserv.Worm

Categoria 2
Data da descoberta: 30/09/2002
Data da última atualização: 02/05/2005

O W32.Opaserv.Worm é um worm do grupo network-aware (que detecta a rede) que tenta replicar sobre compartilhamentos abertos de rede. Ele copia a si próprio para o arquivo "scrsvr.exe" na máquina remota. Este worm também tenta fazer downloads de atualizações a partir do endereço www.opasoft.com, mesmo que o site já tenha sido fechado. Entre os indicadores de infecção podemos citar:

  • Existência de scrsin.dat e de scrsout.dat no diretório raiz C: indicando infecção local (o worm foi executado na máquina local)
  • Existência de tmp.ini no diretório raiz C: indicando infecção remota (infectado por um servidor remoto)
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run contendo um valor string chamado ScrSvr ou ScrSvrOld configurado para "C:\tmp.ini"

Nota: Se você está em rede, ou possui uma conexão em tempo integral com a Internet, tal como uma DSL ou Cable modem, é preciso que você disconecte o computador da rede e da internet antes de tentar remover esse worm. Se você tiver arquivos compartilhados, estes devem ser desativados. Ao terminar com o processo de remoção, se você decidir reativar os arquivos ou pastas compartilhados, a Symantec sugere que você não compartilhe a raíz da unidade C. Ao em vez disso, compartilhe pastas específicas. Estes arquivos e pastas compartilhados devem ser protegidos com uma senha segura. Não use uma senha em branco.

Também, antes de fazer isso, se você estiver usando o Windows 95/98/Me, é preciso que você faça o download e instalação do Microsoft patch a partir de
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

Também conhecido como: W32/Opaserv.worm [McAfee], W32/Opaserv-A [Sophos], Win32.Opaserv [CA], WORM_OPASOFT.A [Trend], Worm.Win32.Opasoft [AVP]
Tipo: Worm
Tamanho da infecção: 28,672 bytes
Sistemas afetados: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Sistemas não afetados: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Referências CVE: CVE-2000-0979

proteção
  • Definições de vírus (LiveUpdate™ semanal)

    • 30/09/2002
  • Definições de vírus (Intelligent Updater)

    • 30/09/2002

    avaliação da ameaça

    Propagação

    Estatísticas da ameaça
    Baixo Baixo Médio

    Propagação:
    Baixo

    Dano:
    Baixo

    Distribuição:
    Médio

    Distribuição

    detalhes técnicos

    Em sua execução o W32.Opaserv.Worm faz o seguinte:

    Verificará o valor:

    ScrSvrOld

    sob a chave do registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    e, se o valor existir, excluirá o arquivo apontado pelo valor do registro acima mencionado.

    Se o valor acima não existir, ele verificará, então se existe o valor:

    ScrSvr

    sob a chave do registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    e, se ele não existir, o worm acrescentará o valor:

    ScrSvr %Windir%\ScrSvr.exe

    sob essa chave do registro.

    Em seguida, verificará se está sendo executado como arquivo:

    %windir%\ScrSvr.exe

    Em caso negativo, se autocopiará para o nome do arquivo acima mencionado e acrescentará o valor:

    ScrSvrOld <nome original do worm>

    sob a chave do registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Nota: %windir% é um variável. O worm localiza a pasta de instalação de Windows (por padrão, é a pasta C:\Windows ou C:\Winnt) e utiliza a mesma como pasta de destino.

    Após verificar os valores do registro e o local a partir do qual o worm está sendo executando, o worm verificará se está sendo executado no momento, através da criação de um Mutex chamado "ScrSvr31415"

    Se já não estiver sendo executado, o worm se registrará como um processo no Win95/98/Me, Em Windows NT/2000/XP se elevará a prioridade do processo do worm.

    Então, o worm enumerará a rede procurando compartilhamentos "C\" e, para cada compartilhamento encontrado, fará uma cópia de si mesmo para "C\Windows\scrsvr.exe".

    O worm usa uma vulnerabilidade no Microsoft Windows 95/98/Me. Ele envia senhas de um único caractere para compartilhamentos de rede para acessar os arquivos compartilhados do Windows 95/98/Me sem conhecer a senha completa configurada para os compartilhamentos. Os sistemas afetados incluem,
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows Me

    Uma correção (patch) para computadores com estes sistemas operacionais pode ser encontrada no endereço: http://www.microsoft.com/technet/security/bulletin/MS00-072.asp.

    Para que os sistemas 95/98/Me executem o worm durante a inicialização de Windows, o worm modifica a seção [windows] do arquivo C:\Windows\Win.ini, adicionando a linha:

    run= c:\ScrSvr.exe

    Notas:
    O worm modifica o arquivo C:\Windows\Win.ini antes de copiar-se como %windir%\ScrSvr.exe. Então, os produtos antivirus de Symantec detectarão e excluirão o arquivo %windir%\ScrSvr.exe depois de que o sistema for alterado, mas não antes de que modifique o arquivo Win.ini. Como resultado, ao reiniciar o sistema, você poderá ver uma mensagem de que o arquivo ScrSvr.exe não pode ser encontrado. Para resolver isso, exclua a linha adicionada pelo worm.
    • O worm tem código que aparentemente deve modificar o arquivo "C:\Windows\Win.ini", adicionando a linha:
      run= c:\tmp.ini

      No entanto, em infecções atuais, o worm está adicionando a linha run= c:\ScrSvr.exe.
    Também criará o arquivo "C:\tmp.ini" que contém o texto:

    run= c:\windows\scrsvr.exe

    O worm também parece ter a capacidade de se auto-atualizar através da leitura de arquivos de um site da Web inserido no código do worm. Ele também tentará fazer download de uma atualização "scrupd.exe".

    recomendações

    O Symantec Security Response recomenda que todos os usuários e administradores observem as seguintes "melhores práticas" de segurança básica:

    • Desative e exclua os serviços de que não precisa. Por padrão, muitos sistemas operacionais instalam serviços auxiliares que nem todos utilizam, como clientes FTP, telnet e servidores Web. Só que esses serviços são verdadeiras vias de ataque. Se removidos, além de menos vias de ataque, você terá menos serviços e, assim, menos atualizações de correções com que se preocupar.
    • Se uma ameaça diversificada atingir serviços de rede, desative-os ou bloqueie acesso a eles até poder aplicar uma correção.
    • Mantenha seus níveis de correção sempre atualizados, especialmente no caso de computadores que abrigam serviços públicos e são acessíveis através do firewall, como os de HTTP, FTP, correio e DNS.
    • Adote uma senha. As senhas compostas dificultam a quebra dos arquivos de senha dos computadores afetados. Isso contribui para evitar ou limitar os danos quando um computador é afetado.
    • Configure seu servidor para bloquear ou remover e-mail que tenha arquivos anexados com extensões comumente usadas para disseminar vírus, como .vbs, .bat, .exe, .pif e .scr.
    • Isole rapidamente os computadores infectados, a fim de evitar um ainda maior comprometimento de sua empresa. Faça uma análise posterior e restaure o computador usando meios confiáveis.
    • Treine os funcionários a não abrir os anexos não esperados. Além disso, não execute software descarregado da Internet antes de submetê-lo a uma verificação de vírus. A simples visita a um site comprometido pode promover infecções se certas vulnerabilidades do browser não tiverem sido corrigidas.
    instruções de remoção

    IMPORTANTE - LEIA PRIMEIRO:
    • Este worm usa uma vulnerabilidade de segurança no Microsoft Windows 95/98/Me. Ele envia senhas de um único caractere para compartilhamentos de rede para acessar os arquivos compartilhados do Windows 95/98/Me sem conhecer a senha completa configurada para os compartilhamentos. Os sistemas afetados incluem Windows 95, 98, e Me.

      Uma correção (patch) para computadores com estes sistemas operacionais pode ser encontrada no endereçohttp://www.microsoft.com/technet/security/bulletin/MS00-072.asp. Se ainda não o fez, você deve obter e instalar a correção para evitar futuras infecções.
    • Se você está em rede ou possui uma conexão em tempo integral com a Internet, como DSL ou Cable modem, você deve desconectar o computador da rede e da Internet. Desative ou proteja com senha os compartilhamentos de arquivos ou configure os arquivos compartilhados como Somente Leitura, antes de reconectar os computadores à rede ou à Internet. Como este worm se dissemina usando pastas compartilhadas de computadores em rede, para assegurar que o worm não irá reinfectar o computador após ter sido removido, é preciso que você remova todos os compartilhamentos, limpe todos os computadores na rede, remende todos os sistemas, e atualize todas as definições em todos os computadores antes de reconectar-se à rede ou reativar os compartilhamentos.
    • Para instruções sobre como fazer isso, consulte a documentação do seu Windows, ou o documento Como configurar as pastas compatilhadas do Windows para máxima proteção em rede.
    • Se você está removendo uma infecção em uma rede, tenha certeza de que qualquer compartilhamento esteja desativado ou configurado como Somente Leitura antes de continuar.



    Remoção usando a Ferramenta de remoção de W32.Opaserv.Worm
    A ferramenta é a maneira mais fácil de eliminar o vírus. Clique aqui para obter a ferramenta.
     
    Remoção manual
    Como alternativa à ferramenta, pode remover esta ameaça manualmente. Seguem abaixo as etapas principais:
    1. Atualize as definições de vírus.
    2. Execute uma verificação de sistema completa e exclua todos os arquivos detectados como sendo W32.Opaserv.Worm.
    3. Exclua os valores

      ScrSvr %windir%\ScrSvr.exe

      e

      ScrSvrOld <nome original do worm>

      na chave do Registro

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    4. (Windows 95/98/Me só) Exclua a linha ou linhas a seguir do arquivo C:\Windows\Win.ini

      run= c:\ScrSvr.exe

      run= c:\tmp.ini
    Para maiores detalhes sobre como fazer isto, leia as seguintes instruções.

    Para desconectar da rede:
    Se você está em rede, ou possui uma conexão em tempo integral com a Internet, tal como uma DSL ou Cable modem, desconecte o computador da rede e da Internet. Desative ou proteja com senha os compartilhamentos de arquivos, ou configure os arquivos compartilhados como Somente Leitura, antes de reconectar os computadores à rede ou à Internet. Como este worm se dissemina usando pastas compartilhadas de computadores em rede, para assegurar que o worm não irá reinfectar o computador após ter sido removido, é preciso que você remova todos os compartilhamentos, limpe todos os computadores na rede, remende todos os sistemas, e atualize todas as definições em todos os computadores antes de reconectar-se à rede ou reativar os compartilhamentos.

    IMPORTANTE:
    • Não pule este passo. Você deve se desconectar da rede antes de tentar remover este worm.
    • Para obter informações adicionais sobre o compartilhamento de arquivos, leia a sua documentação de Windows ou o documento How to configure shared Windows folders for maximum network protection (Este recurso encontra-se em inglês).
    • Ao terminar o processo de remoção, se você decidir reativar os arquivos ou pastas compartilhados, a Symantec sugere que você não compartilhe a raíz da unidade C. Ao em vez disso, compartilhe pastas específicas. Estes arquivos e pastas compartilhados devem ser protegidos com uma senha segura. Não use uma senha em branco.
    Também, antes de fazer isso, se você estiver usando o Windows 95/98/Me, é preciso que você faça o download e instalação do Microsoft patch a partir de

    http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

    Para atualizar as definições de vírus:
    Todas as definições de vírus passam por testes de certificação total de qualidade do Symantec Security Response antes de serem colocados em nossos servidores. Existem dois modos para se obter as mais recentes definições de vírus:
      • Execute o LiveUpdate, que é a maneira mais fácil de se obter as definições de vírus. As definições de vírus são colocados nos servidores de LiveUpdate uma vez por semana (normalmente na quarta-feira) a não ser que exista uma importante explosão de ataque de vírus. Para determinar se as definições para esta ameaça estão disponíveis para o LiveUpdate, veja a linha Definições de Vírus (LiveUpdate) no alto deste aviso.
      • Obtenha as definições através do Intelligent Updater. Elas são publicadas em dias úteis (de segunda à sexta). Elas devem ser descarregadas do website do Symantec Security Response e instaladas manualmente. Para determinar se as definições para esta ameaça estão disponíveis para o Intelligent Updater, veja a linha Definições de Vírus (Intelligent Updater) no alto deste aviso.

      Definições de vírus do Intelligent Updater são disponíveis aqui. Para obter instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do website do Symantec Security Response, clique aqui.

    Para verificar e excluir arquivos infectados:
    1. Inicie seu programa da Symantec, e configure-o para verificar todos os arquivos.
    2. Execute uma verificação completa do sistema.
    3. Se forem detectados quaisquer arquivos infectados com W32.Opaserv.Worm, clique em Excluir.

    Remova o valor que o worm adicionou ao Registro:

    CUIDADO: Recomendamos que você faça um backup do registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas ao registro podem resultar na perda de dados permanente ou em arquivos corrompidos. Certifique-se de modificar apenas as chaves aqui especificadas. Consulte o documento Como fazer backup do Registro do Windows para instruções.
    1. Clique em Iniciar e em Executar. A caixa de diálogo Executar será exibida.
    2. Digite regedit e clique em OK. O Editor do registro será aberto.
    3. Navegue até a chave a seguir.

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    4. No painel à direita, exclua os valores a seguir:

      ScrSvr %windir%\ScrSvr.exe

      ScrSvrOld <nome original do worm>
    5. Saia do Editor do Registro.

    Remova o valor que o worm adicionou ao arquivo Win.ini:
    Este processo é necessário somente em computadores com Windows 95/98/Me.

    NOTA.: (Somente para usuários do Windows Me) Devido ao processo de proteção de arquivos do Windows Me, existe uma cópia de backup do arquivo que você está prestes a editar na pasta C:\Windows\Recent. Recomendamos que você exclua esse arquivo antes de continuar com as etapas nessa seção. Para fazer isso usando o Windows Explorer, vá para C:\Windows\Recent e, no painel à direita, selecione o arquivo Win.ini e o exclua. Ele será gerado novamente como uma cópia do arquivo que você está prestes a editar quando salvar as suas alterações nesse arquivo.
    1. Clique em Iniciar e em Executar.
    2. Digite o seguinte e clique em OK.

      edit c:\windows\win.ini

      O editor do MS-DOS será aberto.

      NOTA.: Se o Windows estiver instalado em um diretório diferente, faça a substituição apropriada.
    3. Na seção [windows] do arquivo, procure por uma entrada parecida com a seguinte:

      run= c:\ScrSvr.exe

      run= c:\tmp.ini
    4. Selecione a linha inteira, verificando se não selecionou algum outro texto, e pressione Delete.
    5. Clique em Arquivo e em Salvar.
    6. Clique em Arquivo e em Salvar.

    Histórico de revisões:

    September 30, 2002. Upgraded from Category 2 to Category 3 based on increased rate of submissions.


    Relatório feito por: Douglas Knowles & Peter Ferrie