Worm.Win32.Opasoft

Estás en Inicio: Soporte Técnico: Alertas de Virus: Worm.Win32.Opasoft

Buscador Avanzado

Worm.Win32.Opasoft« Volver al listado de Virus

Este es un virus de gusano de red con rutina de puerta trasera. El gusano se extiende sobre la red local y global usando los servicios de WINDOWS NETBIOS. El gusano en sí es un ejecutable de Windows de unas 28 Kb de longitud.

El gusano se instala en el directorio de Windows con el nombre de "scrsvr.exe" y registra este archivo en la llave de registro autorun:

HKLM\Software\Microsoft\Windows\Current Version\Run ScrSvr = %worm name %

El gusano entonces suprime su archivo original (desde donde se inició).

Difusión:
El gusano explora direcciones de IP en la red local, así como rangos de dirección de IP aleatorias seleccionadas. Mientras el gusano escanea, envía datos al puerto 137 (NETBIOS Session Service). En caso de recibir una respuesta de una dirección de IP explorada, el gusano comprueba datos específicos en los datos recibidos. En función de estos datos comenzará o no su rutina de infección.

La rutina de infección envía a la dirección de IP específica paquetes SMB utilizando el puerto 139 (NETBIOS Session Service). Como resultado de esto se crearán dos archivos en el directorio de Windows en el ordenador objetivo:

\WINDOWS\scrsvr.exe - copia del gusano
\WINDOWS\win.ini - Archivo WIN.INI de Windows

El archivo WIN.INI contiene una instrucción que permite arrancar la ejecución del archivo EXE del gusano en el siguiente reinicio de de Windows (comando _”run=” en la sección de [windows]).

Mientras se envía, en la máquina que genera la infección se crea un archivo c:\tmp.ini

Todos los usuarios que utilicen la opción de compartir archivos e impresoras con Windows 95, 98, 98 SE y Me, deben descargar e instalar el parche de seguridad desde este enlace. (http://www.microsoft.com-technet-security-bulletin-ms00-072.asp).

Puerta trasera:

La rutina de puerta trasera accede al SITIO WEB www.opasoft.com y realiza las acciones siguientes:

Descarga y ejecuta su versión nueva (si hay) desde este sitio
Descarga y procesa archivos script colocados en este sitio

La nueva versión del gusano es descargada al archivo "scrupd.exe". Este archivo es ejecutado entonces, y reemplaza a la copia del gusano hasta entonces existente.

Mientras se procesa, el gusano utiliza sus archivos de datos: "ScrSin.dat" y "ScrSout.dat". Estos archivos son cifrados con un algoritmo de cifrado fuerte.

Dado que el servidor está apagado, no hay posibilidad de conseguir más información sobre esta rutina de puerta trasera.

Tecnología. Detalles:

Para evitar la doble ejecución sobre la misma máquina el gusano crea " Windows mutex" con el nombre de "ScrSvr31415". Las máquinas de Win9x son infectables, mientras que las WinNT difícilmente pueden llegar a serlo.

Desinfección manual:

Elimine del registro de sistema las entradas (inicio/ ejecutar / regedit): ScrSvr %windir%\ScrSvr.exe y ScrSvrOld de:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(Solo paraWindows 95/98/Me) borre la línea: run= c:\tmp.ini O run=c:\windows\scrsvr.exe del archivo:
C:\Windows\Win.ini que puede encontrar en la sección [windows]
Reinicie su máquina y realice un escaneo con su antivirus para eliminar cualquier archivo que pueda quedar con una copia del virus.

Desinfección automática:

Descargue la utilidad para eliminar este virus pinchando aquí.

Después de ejecutar esta utilidad deberá ejecutar el escáner del antivirus eliminando cualquier rastro del virus.

En cualquier caso, antes de proceder a las desinfección de la maquinas, estas deben ser desconectadas de la red y luego proceder a su desinfección.

¿Aún así sigue entrándole el virus en su ordenador?

Entonces deberá seguir estos pasos en la maquina que tenga el acceso a internet:

Pulse en Inicio, Configuración, Panel de Control (o Mi PC, Panel de Control). (En Windows Me, deberá pulsar "Ver todas las opciones del Panel de Control" si no ve el icono "Red").
Haga doble clic sobre el icono "Red".
Seleccione la etiqueta "Configuración".
En la línea en la que aparece su modem y "TCP/IP ->", ejecute los siguientes pasos (5, 6, 7 y 8).
Seleccione la línea.
Pulse en el botón "Propiedades" (dependiendo la versión de Windows, puede recibir una advertencia sobre los iconos de conexión, ignórela y pulse "Aceptar").
Seleccione la etiqueta "Enlaces". Allí podría encontrar algo como esto:
[ ] Cliente para redes Microsoft
[ ] Compartir impresoras y archivos para redes Microsoft
O al menos UNO de ellos.
Desmárquelos a TODOS, y luego pulse en "Aceptar". Recibirá un mensaje de advertencia sobre que usted no ha seleccionado ningún vínculo o enlace para ese adaptador. Ignórelo y seleccione que NO desea asignarle nada.
Reinicie el ordenador. Recibirá un mensaje de advertencia sobre que usted no ha seleccionado ningún vínculo o enlace para ese adaptador. Ignórelo y seleccione que NO desea asignarle nada.
Proceda a la limpieza de su ordenador, eliminando todo rastro del virus.