Win32.Worm.Opaserv.A

Tip: Executable Network Worm Marime: 28672 bytes Raspandire: Mare Risc: Scazut Simptome: - Fisierul "scrsvr.exe" in directorul Windows; - Una sau ambele chei din registrii: -

Tip: Executable Network Worm Marime: 28672 bytes Raspandire: Mare Risc: Scazut Simptome: - Fisierul "scrsvr.exe" in directorul Windows; - Una sau ambele chei din registrii: - HKLM\Software\Microsoft\ Windows\CurrentVersion\Run\ScrSvr - HKLM\Software\Microsoft\ Windows\CurrentVersion\Run\ScrSvrOld Descriere tehnica: Cand este pentru prima oara rulat, viermele se va copia in directorul Windows sub denumirea "scrsvr.exe" si va crea inregistrarile "ScrSvr" si "ScrSvrOld" in cheia din registrii "HKLM\Software\Microsoft\Windows\ CurrentVersion\Run", astfel incat, la repornirea Windows-ului sa fie rulate atat copiile noi cat si copiile initiale ale virusului; dupa aceea, noua copie va fi lansata si procesul initial va fi terminat. Odata cu lansarea copiei noi a virusului (cea din Windows) inregistrarea "ScrSvrOld" din registri este gasita si stearsa (aceasta inregistrare exista doar pentru ca, sa fie rulata copia mai veche in cazul in care cea noua esueaza). De asemenea, fisierul initial care contine virusul este sters. Este creat un obiect mutex denumit "ScrSvr31415" (3.1415... sunt primele cifre ale pi), doar in cazul in care acesta nu exista deja, caz in care procesul este terminat; acest lucru previne ca mai multe copii ale virusului sa fie rulate in acelasi timp. Ulterior, virusul se inregistreaza ca un proces serviciu si isi reduce prioritatea pentru a nu consuma timpul CPU (asta doar in cazul in care sistemul este utilizat). Virusul va crea mai multe fire de executie cu scopul de a raspandi si actualiza viermele. Virmele se raspandeste prin scanarea retelei dupa partitii C partajate in retea cu acces total si se copiaza in acestea; fisierul "win.ini" din directorul Windows este modificat pentru a rula copia viermelui la urmatoarea repornire a calculatorului; fisierul "c:\tmp.ini" este utilizat pentru stocarea temporara a continutului fisierului "win.ini". Viermele utilizeaza protocolul SMB (Server Message Block) pentru a accesa resursele partajate ale retelei. (Partitia C: nu este in mod normal partajata de calculatoarele din retea, dar acestea se pot infecta daca utilizatorul inregistrat pe calculatorul infectat are drepturi de administrator asupra calculatoarelor din retea; acesta este, de obicei, cazul cu administratorii de domeniu). De asemenea, viermele incearca sa se actualizeze de la site-ul www.opasoft.com si stocheaza versiunea descarcata in fisierul "scrupd.exe"; alte doua fisiere temporare ("ScrSin.dat" si "ScrSout.dat") sunt utilizate in timp ce se comunica cu server-ul de actualizare. Dezinfectie manuala: Stergeti inregistrarea/inregistrarile din registri descrisa (e) in sectiunea "Simprome" de mai sus; de asemenea, deschideti fisierul "win.ini" din directorul Windows cu ajutorul unui editor de texte (ex.: Notepad) si stergeti liniile cu trimitere la fisierele "scrsvr.exe" sau "tmp.ini"; reporniti calculatorul in Safe Mode, daca este posibil, si stergeti fisierul "scrsvr.exe" (si copia initiala a virusului, directata de cheia din registrii "ScrSvrOld"). Pentru a preveni replicarea virusului pe calculatoarele neinfectate ar trebui sa incercati sa dezinfectati toate calculatoarele din retea inainte de reincarcarea unuia dintre acestea sau sa decupati cablurile retelei. Nota: Virusii din aceasta rubrica au fost analizati de Softwin si pot fi eliminati cu antivirusul BitDefender.