╧alÜie nßzvy: Worm.Win32.Opasoft
Win32/Opaserv je Φerv Üφriaci sa v lokßlnych sie¥ach na po zdie╛an²ch diskoch. Pok·Üa sa tie₧ Üφri¥ na nßhodnΘ zvolenΘ IP adresy.
╚erv funguje v prostredφ operaΦn²ch systΘmov rodiny Windows. Je tvoren² spustite╛n²m s·borom formßtu PE o dσ₧ke 28672 bajtov.
InÜtaluje sa do adresßra s operaΦn²m systΘmom Windows ako s·bor ScrSvr.exe. Svoju aktivßciu zabezpeΦφ pomocou registra systΘmu tak, ₧e vo vetve HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run vytvorφ polo₧ku ScrSvr s hodnotou C:\WINDOWS\ScrSvr.exe.
èφri sa po dostupn²ch zdie╛an²ch sie¥ov²ch diskoch tak, ₧e skopφruje s·bor ScrSvr.exe do adresßra Windows na cie╛ovom poΦφtaΦi, kde tie₧ modifikuje s·bor win.ini. Tento modifikovan² win.ini s·bor zaprφΦi≥uje spustenie Φerva po ∩alÜom reÜtarte Windows.
╚erv obsahuje k≤d, ktor² zabra≥uje dvojnßsobnej infekcii û kontroluje v pamΣti prφtomnos¥ mutexu s nßzvom ScrSvr31415.
╚erv sa tie₧ pok·Üa o stiahnutie a spustenie s·borov zo servera www.opasoft.com, ktor² je u₧ ale nefunkΦn².
NOD32 detekuje Win32/Opaserv od verzie 1.309
Postup lieΦenia: