Igiho strßnka o virech

Win32/OpaServ.A

Win32/OpaServ.A je sφ¥ov² worm kombinovan² s backdoorem. èφ°φ se po lokßlnφch a globßlnφch sφtφch pomocφ slu₧by NETBIOS. Worm je dlouh² p°ibli₧n∞ 28 kilobyt∙. Worm instaluje sebe sama do adresß°e Windows pod jmΘnem scrsvr.exe a do registry p°idßvß nßsledujφcφ klφΦ:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvr

Worm pak sma₧e soubor, ve kterΘm do poΦφtaΦe p°iÜel. PotΘ prohledßvß sφt∞ p°es port 137 (NETBIOS Name Service) a vyhledßvß dalÜφ p°φpadnΘ ob∞ti. Prohledßvß nßsledujφcφ podsφt∞:

prßv∞ platnou (ji₧ infikovanou) podsφ¥ (aa.bb.cc.??)

dv∞ sousednφ podsφt∞ (aa.bb.cc+1.?? , aa.bb.cc-1.??)

nßhodn∞ zvolenΘ podsφt∞ (krom∞ n∞kolika zakßzan²ch)

Pokud z n∞jakΘ IP adresy dostane odpov∞∩, prohledß tΘ₧ ob∞ podsφt∞ sousedφcφ s touto adresou. Pokud mß vzdßlen² poΦφtaΦ povolenou slu₧bu "File and Print Sharing" (sdφlenφ soubor∙ a tiskßren), worm se jej sna₧φ napadnout. Navß₧e spojenφ se vzdßlen²m poΦφtaΦem a pokud je prost°edek chrßn∞n heslem, vyzkouÜφ vÜechny jednoznakovΘ mo₧nosti hesla. Pokud je ·sp∞Ün², poÜle na vzdßlen² poΦφtaΦ sama sebe ve form∞ EXE souboru a ulo₧φ jej pod jmΘnem WINDOWS\scrsvr.exe. Potom si stßhne vzdßlen² soubor WINDOWS\win.ini, p°idß do n∞j p°φkaz run a ulo₧φ jej zp∞t. Tak zajistφ, ₧e p°i p°φÜtφm startu Windows je kopie wormu na vzdßlenΘm poΦφtaΦi spuÜt∞na.

PoΦφtaΦe s operaΦnφmi systΘmy Windows NT/2000/XP jsou proti tomuto ·toku odolnΘ, narozdφl od poΦφtaΦ∙ se systΘmy Windows 9x/Me.

Worm obsahuje i dalÜφ Φinnost: zkouÜφ se p°ipojit na webovΘ strßnky serveru www.opasoft.com a stßhnout odtud aktualizovanΘ verze sebe sama. Tento server je vÜak nynφ mimo provoz.

P°i svΘm Üφ°enφ worm m∙₧e zp∙sobit tisk nesmysln²ch v²pis∙ na sdφlen²ch tiskßrnßch.

Odstran∞nφ:

zruÜt∞ sdφlenφ disk∙/adresß°∙/soubor∙ nebo je ochra≥te bezpeΦn²m heslem

sma₧te infikovan² EXE soubor

odstra≥te °ßdek run, kter² worm p°idal do souboru WIN.INI a takΘ polo₧ku z registry

JednoduÜÜφ mo₧nostφ je spustit jedno·Φelov² antivirus ze strßnky "1.Pomoc"

Zabrßn∞nφ budoucφm ·tok∙m:

Zaka₧te sdφlenφ cel²ch disk∙, povolte pouze sdφlenφ pot°ebn²ch adresß°∙.

Aplikujte bezpeΦnostnφ zßplatu firmy Microsoft, opravujφcφ chybu ve sdφlenφ na Windows 9x/ME - ZDE.

Zaka₧te protokol NetBIOS (vΦetn∞ vazby NetBIOSu ve Vlastnostech TCP/IP) na poΦφtaΦφch anebo porty protokolu NetBIOS na Proxy serveru.

ZruÜte na vÜech poΦφtaΦφch v rßmci lokßlnφ sφt∞ ve Vlastnostech vÜech protokol∙ TCP/IP (pro ka₧d² adaptΘr je b²vß zvlßÜtnφ nastavenφ protokolu TCP/IP) na zßlo₧ce Vazby vazbu na "Sdφlenφ soubor∙ a tiskßren". Sdφlenφ samotnΘ samoz°ejm∞ nevypφnejte - sdφlenΘ prost°edky budou nadßle dostupnΘ, ale jen v rßmci lokßlnφ sφt∞, nikoliv z Internetu (p°es protokol TCP/IP).

Zdroj: Alwil software - v²robce antiviru AVAST