Win32/OpaServ.A

Win32/OpaServ.A je síťový worm kombinovaný s backdoorem. Šíří se po lokálních a globálních sítích pomocí služby NETBIOS. Worm je dlouhý přibližně 28 kilobytů. Worm instaluje sebe sama do adresáře Windows pod jménem scrsvr.exe a do registry přidává následující klíč:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvr 

Worm pak smaže soubor, ve kterém do počítače přišel. Poté prohledává sítě přes port 137 (NETBIOS Name Service) a vyhledává další případné oběti. Prohledává následující podsítě:

  • právě platnou (již infikovanou) podsíť (aa.bb.cc.??)
  • dvě sousední podsítě (aa.bb.cc+1.?? , aa.bb.cc-1.??)
  • náhodně zvolené podsítě (kromě několika zakázaných)

    Pokud z nějaké IP adresy dostane odpověď, prohledá též obě podsítě sousedící s touto adresou. Pokud má vzdálený počítač povolenou službu "File and Print Sharing" (sdílení souborů a tiskáren), worm se jej snaží napadnout. Naváže spojení se vzdáleným počítačem a pokud je prostředek chráněn heslem, vyzkouší všechny jednoznakové možnosti hesla. Pokud je úspěšný, pošle na vzdálený počítač sama sebe ve formě EXE souboru a uloží jej pod jménem WINDOWS\scrsvr.exe. Potom si stáhne vzdálený soubor WINDOWS\win.ini, přidá do něj příkaz run a uloží jej zpět. Tak zajistí, že při příštím startu Windows je kopie wormu na vzdáleném počítači spuštěna.

    Počítače s operačními systémy Windows NT/2000/XP jsou proti tomuto útoku odolné, narozdíl od počítačů se systémy Windows 9x/Me.

    Worm obsahuje i další činnost: zkouší se připojit na webové stránky serveru www.opasoft.com a stáhnout odtud aktualizované verze sebe sama. Tento server je však nyní mimo provoz.

    Při svém šíření worm může způsobit tisk nesmyslných výpisů na sdílených tiskárnách.

    Odstranění:

  • zruště sdílení disků/adresářů/souborů nebo je ochraňte bezpečným heslem
  • smažte infikovaný EXE soubor
  • odstraňte řádek run, který worm přidal do souboru WIN.INI a také položku z registry

    Jednodušší možností je spustit jednoúčelový antivirus ze stránky "1.Pomoc"

    Zabránění budoucím útokům:

  • Zakažte sdílení celých disků, povolte pouze sdílení potřebných adresářů.
  • Aplikujte bezpečnostní záplatu firmy Microsoft, opravující chybu ve sdílení na Windows 9x/ME - ZDE.
  • Zakažte protokol NetBIOS (včetně vazby NetBIOSu ve Vlastnostech TCP/IP) na počítačích anebo porty protokolu NetBIOS na Proxy serveru.
  • Zrušte na všech počítačích v rámci lokální sítě ve Vlastnostech všech protokolů TCP/IP (pro každý adaptér je bývá zvláštní nastavení protokolu TCP/IP) na záložce Vazby vazbu na "Sdílení souborů a tiskáren". Sdílení samotné samozřejmě nevypínejte - sdílené prostředky budou nadále dostupné, ale jen v rámci lokální sítě, nikoliv z Internetu (přes protokol TCP/IP).


    Zdroj: Alwil software - výrobce antiviru AVAST