Win32/OpaServ.A

Win32/OpaServ.A je sφ¥ov² worm kombinovan² s backdoorem. èφ°φ se po lokßlnφch a globßlnφch sφtφch pomocφ slu₧by NETBIOS. Worm je dlouh² p°ibli₧n∞ 28 kilobyt∙. Worm instaluje sebe sama do adresß°e Windows pod jmΘnem scrsvr.exe a do registry p°idßvß nßsledujφcφ klφΦ: 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvr

Worm pak sma₧e soubor, ve kterΘm do poΦφtaΦe p°iÜel. PotΘ prohledßvß sφt∞ p°es port 137 (NETBIOS Name Service) a vyhledßvß dalÜφ p°φpadnΘ ob∞ti. Prohledßvß nßsledujφcφ podsφt∞:

  • prßv∞ platnou (ji₧ infikovanou) podsφ¥ (aa.bb.cc.??)
  • dv∞ sousednφ podsφt∞ (aa.bb.cc+1.?? , aa.bb.cc-1.??)
  • nßhodn∞ zvolenΘ podsφt∞ (krom∞ n∞kolika zakßzan²ch)

    Pokud z n∞jakΘ IP adresy dostane odpov∞∩, prohledß tΘ₧ ob∞ podsφt∞ sousedφcφ s touto adresou. Pokud mß vzdßlen² poΦφtaΦ povolenou slu₧bu "File and Print Sharing" (sdφlenφ soubor∙ a tiskßren), worm se jej sna₧φ napadnout. Navß₧e spojenφ se vzdßlen²m poΦφtaΦem a pokud je prost°edek chrßn∞n heslem, vyzkouÜφ vÜechny jednoznakovΘ mo₧nosti hesla. Pokud je ·sp∞Ün², poÜle na vzdßlen² poΦφtaΦ sama sebe ve form∞ EXE souboru a ulo₧φ jej pod jmΘnem WINDOWS\scrsvr.exe. Potom si stßhne vzdßlen² soubor WINDOWS\win.ini, p°idß do n∞j p°φkaz run a ulo₧φ jej zp∞t. Tak zajistφ, ₧e p°i p°φÜtφm startu Windows je kopie wormu na vzdßlenΘm poΦφtaΦi spuÜt∞na.

    PoΦφtaΦe s operaΦnφmi systΘmy Windows NT/2000/XP jsou proti tomuto ·toku odolnΘ, narozdφl od poΦφtaΦ∙ se systΘmy Windows 9x/Me.

    Worm obsahuje i dalÜφ Φinnost: zkouÜφ se p°ipojit na webovΘ strßnky serveru www.opasoft.com a stßhnout odtud aktualizovanΘ verze sebe sama. Tento server je vÜak nynφ mimo provoz.

    P°i svΘm Üφ°enφ worm m∙₧e zp∙sobit tisk nesmysln²ch v²pis∙ na sdφlen²ch tiskßrnßch.

    Odstran∞nφ:

  • zruÜt∞ sdφlenφ disk∙/adresß°∙/soubor∙ nebo je ochra≥te bezpeΦn²m heslem
  • sma₧te infikovan² EXE soubor
  • odstra≥te °ßdek run, kter² worm p°idal do souboru WIN.INI a takΘ polo₧ku z registry

    JednoduÜÜφ mo₧nostφ je spustit jedno·Φelov² antivirus ze strßnky "1.Pomoc"

    Zabrßn∞nφ budoucφm ·tok∙m:

  • Zaka₧te sdφlenφ cel²ch disk∙, povolte pouze sdφlenφ pot°ebn²ch adresß°∙.
  • Aplikujte bezpeΦnostnφ zßplatu firmy Microsoft, opravujφcφ chybu ve sdφlenφ na Windows 9x/ME - ZDE.
  • Zaka₧te protokol NetBIOS (vΦetn∞ vazby NetBIOSu ve Vlastnostech TCP/IP) na poΦφtaΦφch anebo porty protokolu NetBIOS na Proxy serveru.
  • ZruÜte na vÜech poΦφtaΦφch v rßmci lokßlnφ sφt∞ ve Vlastnostech vÜech protokol∙ TCP/IP (pro ka₧d² adaptΘr je b²vß zvlßÜtnφ nastavenφ protokolu TCP/IP) na zßlo₧ce Vazby vazbu na "Sdφlenφ soubor∙ a tiskßren". Sdφlenφ samotnΘ samoz°ejm∞ nevypφnejte - sdφlenΘ prost°edky budou nadßle dostupnΘ, ale jen v rßmci lokßlnφ sφt∞, nikoliv z Internetu (p°es protokol TCP/IP).


    Zdroj: Alwil software - v²robce antiviru AVAST


    		•

    Jedno·Φelov² antivirus:

    Win32/OpaServ
  • Popis/pou₧itφ: Z Windows.

    		•

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.