![]() |
![]() |
|
Win32/OpaServ.AWin32/OpaServ.A je síťový worm kombinovaný s backdoorem. Šíří se po lokálních a globálních sítích pomocí služby NETBIOS. Worm je dlouhý přibližně 28 kilobytů. Worm instaluje sebe sama do adresáře Windows pod jménem scrsvr.exe a do registry přidává následující klíč: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvr Worm pak smaže soubor, ve kterém do počítače přišel. Poté prohledává sítě přes port 137 (NETBIOS Name Service) a vyhledává další případné oběti. Prohledává následující podsítě: Pokud z nějaké IP adresy dostane odpověď, prohledá též obě podsítě sousedící s touto adresou. Pokud má vzdálený počítač povolenou službu "File and Print Sharing" (sdílení souborů a tiskáren), worm se jej snaží napadnout. Naváže spojení se vzdáleným počítačem a pokud je prostředek chráněn heslem, vyzkouší všechny jednoznakové možnosti hesla. Pokud je úspěšný, pošle na vzdálený počítač sama sebe ve formě EXE souboru a uloží jej pod jménem WINDOWS\scrsvr.exe. Potom si stáhne vzdálený soubor WINDOWS\win.ini, přidá do něj příkaz run a uloží jej zpět. Tak zajistí, že při příštím startu Windows je kopie wormu na vzdáleném počítači spuštěna. Počítače s operačními systémy Windows NT/2000/XP jsou proti tomuto útoku odolné, narozdíl od počítačů se systémy Windows 9x/Me. Worm obsahuje i další činnost: zkouší se připojit na webové stránky serveru www.opasoft.com a stáhnout odtud aktualizované verze sebe sama. Tento server je však nyní mimo provoz. Při svém šíření worm může způsobit tisk nesmyslných výpisů na sdílených tiskárnách.
Odstranění: Jednodušší možností je spustit jednoúčelový antivirus ze stránky "1.Pomoc"
Zabránění budoucím útokům: Zdroj: Alwil software - výrobce antiviru AVAST |
||
![]() |
![]() |