|
VSantivirus No. 817 - Año 6 - Miércoles 2 de octubre 2002
W32/Opasoft.A. Se propaga a través del puerto 139
http://www.vsantivirus.com/opasoft-a.htm
Nombre: W32/Opasoft.A
Tipo: Gusano de Internet
Alias: W32.Opaserv.Worm, W95/Scrup.worm, Worm_Opasoft.a, W32/Opasoft-A, OpaSoft, Worm/OpaSoft, BackDoor-ALB, Backdoor.Opasoft, Bck/Opasoft, Worm.Win32.Opasoft, WORM_OPASOFT, WORM_OPASOFT.A, W32/Opaserv.worm, W32/Opaserv-A, Win32.Opaserv, W32/Scrup.worm, Worm.Win32.Opasoft.a, Opasoft,
Scrup, Worm/Opas.A, Opas
Fecha: 30/set/02
Tamaño: 28,672 bytes
Plataforma: Windows 32-bits
Forma de propagación
Este gusano posee la capacidad de propagarse a través de recursos compartidos en redes de computadoras usando el puerto 139 (Netbios,
NETBeui). Si su computadora tiene activa la opción "Compartir impresoras y archivos para redes
Microsoft", podría ser accedida a través de Internet, y por lo tanto ser infectada con este gusano. Netbios utiliza además el
puerto 137 para la búsqueda del "nombre de Windows" correspondientes a los recursos compartidos.
Para estas acciones, el gusano hace uso del protocolo de comunicación llamado
SMB (Server Message Block Protocol), el cuál es empleado por los sistemas operativos basados en MS-Windows para acceder a los recursos compartidos de una red, a través del
puerto 139 (NetBeui en sistemas Microsoft Windows).
Para acceder a estos recursos, el gusano se aprovecha de una vulnerabilidad conocida desde hace mucho tiempo, respecto a la forma en que
Windows (95, 98, 98 SE y Me) verifica las contraseñas en una red compartida, de modo que puede llegar a aceptar un solo carácter (letra o número), sin importar lo larga que sea la contraseña.
La corrección para esta falla en esos sistemas operativos, está disponible desde octubre de 2000
(http://www.microsoft.com/technet/security/bulletin/ms00-072.asp).
Todos los usuarios que utilicen la opción de compartir archivos e impresoras con
Windows 95, 98, 98 SE y Me, deben descargar e instalar el parche desde dicho enlace.
Desde que la falla fue revelada, existen códigos que explotan esta vulnerabilidad, pero Opasoft es el primer gusano que se aprovecha realmente de la misma.
Esta falla no afecta ni a Windows NT, ni 2000 ni XP. Adicionalmente, en las versiones vulnerables de Windows solo pueden verse afectados recursos compartidos con el mismo nivel de acceso permitido (dominio), y en Windows 95, 98, 98 SE y Me, solo existe el nivel de usuario.
Los primeros reportes de Opasoft sugerían que podía propagarse a través de recursos abiertos (sin contraseñas), y para evitar su propagación se aconsejaba no mantener estos configurados sin autenticación mediante contraseñas. Esto es incorrecto. Opasoft se propaga explotando la vulnerabilidad mencionada, intentando específicamente copiarse al recurso
"C", que es el nombre por defecto para el raíz de la unidad de disco
"C:", siempre que tenga el acceso de lectura y escritura habilitados, o también a través de direcciones IP seleccionadas al azar.
No corregir esta vulnerabilidad, hace que todo procedimiento de desinfección sea inútil, ya que una computadora volvería a infectarse al conectarse a una red o a Internet.
La presencia de un cortafuegos que bloquee el acceso mediante Netbios, también impide la propagación del gusano (como
ZoneAlarm a nivel doméstico, por ejemplo).
El hecho que el servidor desde donde el gusano podría actualizarse mediante la descarga de un archivo, haya sido dado de baja, hace que el único riesgo que este gusano presenta por el momento, es el de su propagación.
En una computadora infectada, puede existir alguno (o todos) los siguientes archivos (dependiendo si la infección ha sido local o a través de la red):
C:\ScrSin.dat
C:\ScrSout.dat
C:\tmp.ini
C:\Windows\ScrSvr.exe
Una vez activo en memoria, el gusano se registra como un proceso que en forma repetitiva escanea la red en busca de otras máquinas conectadas, aumentando el valor del último octeto de la dirección IP de la máquina actual:
Ejemplo:
IP de la computadora:
Búsquedas:
|
169.254.233.48
169.254.233.49, 169.254.233.50, etc...
|
Luego obtiene los nombres y las direcciones IP de las máquinas encontradas, y envía esta información al sitio de descarga mencionado antes.
Luego, verificará la existencia de la siguiente entrada en el registro de la máquina:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ScrSvrOld = C:\tmp.ini
Si dicho valor existe, el gusano borra el archivo
C:\TMP.INI
Si el valor no existe, entonces se examina la presencia del siguiente valor:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ScrSvr = C:\Windows\ScrSvr.exe
En todos los casos, 'C:\Windows' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME y XP, y como 'C:\WinNT en Windows NT/2000).
Si "ScrSvr = C:\Windows\ScrSvr.exe" no existe, el gusano lo agrega a la mencionada clave (eso hará que el gusano se autoejecute en cada reinicio de Windows).
Luego, verificará si se está ejecutando desde C:\Windows\ScrSvr.exe
Si la respuesta es no, entonces se copiará a si mismo con dicho nombre en esa carpeta y se agregará al registro mencionado.
Después de la verificación de los valores del registro y de la ubicación de si mismo, el gusano busca si existe otra instancia de si mismo ejecutándose, buscando un mutex llamado
"ScrSvr31415" (un mutex es un objeto utilizado para controlar el acceso a cualquier tipo de recursos como programas y aplicaciones, y evitar que más de un proceso acceda al mismo tiempo al mismo recurso).
Si no hay ninguno activo, el gusano se registra a si mismo como un proceso (bajo Windows 9x y Me), o eleva la prioridad del proceso actual (Windows NT, 2000 y XP).
El gusano enumerará los recursos compartidos como "C\" que encuentre en la red (configuración por defecto al compartir recursos desde la unidad C:\ con la red), y en cada recurso encontrado, que posea los derechos respectivos de escritura, se copiará a si mismo como:
C\Windows\scrsvr.exe
También modificará el archivo WIN.INI (bajo la etiqueta [windows]), para incluir la siguiente entrada:
run = C:\tmp.ini
Luego creará el archivo "C:\tmp.ini", el cuál contiene el siguiente texto:
run=C:\windows\scrsvr.exe
De ese modo, al iniciarse la computadora, se ejecutará
WIN.INI (C:\Windows\Win.ini) y luego SCRSVR.EXE, o sea el propio gusano.
El gusano posee la habilidad de auto actualizarse al conectarse al sitio mencionado antes. Para ello intenta descargar y ejecutar el archivo
"scrupd.exe". Actualmente este sitio ha sido dado de baja.
Como parte de los preparativos para esta actualización, el gusano crea los archivos
SCRSIN.DAT y SCRSOUT.DAT en el raíz de C:\
Note que de tener activa la opción
"Compartir impresoras y archivos para redes
Microsoft", su computadora podría ser accedida a través de Internet, e infectada con este gusano.
Para evitarlo, en un sistema doméstico, deshabilite la opción "Compartir impresoras y archivos para redes Microsoft" como se indica en este artículo (se aconseja solo en Windows 95, 98 y Me):
Como deshabilitar compartir archivos con TCP/IP
http://www.vsantivirus.com/compartir.htm
O utilice un cortafuegos como ZoneAlarm:
http://www.vsantivirus.com/za.htm
IMPORTANTE: descargue e instale
este parche:
'Share Level Password' Vulnerability (MS00-072)
http://www.microsoft.com/technet/security/bulletin/ms00-072.asp
Herramientas para quitar el W32/Opasoft.A de un sistema infectado
Para eliminar este gusano de un sistema infectado, se sugieren las siguientes
herramientas (eliminan la mayoría de las versiones conocidas):
Reparación manual
Esta información se refiere a todas las
versiones de Opasoft conocidas a la fecha (menos Opasoft.X y Opasoft.Y), por lo tanto no
todos los archivos mencionados existirán en todos los casos.
Nota: Para la limpieza de las versiones X e Y, siga estos enlaces:
W32/Opasoft.X. Se propaga vía recursos compartidos
http://www.vsantivirus.com/opasoft-x.htm
W32/Opasoft.Y. Se propaga vía recursos compartidos
http://www.vsantivirus.com/opasoft-y.htm
Es importante desconectar cada computadora de cualquier red antes de proceder a su
limpieza e instalar el parche mencionado
antes ('Share Level Password'). No corregir
dicha vulnerabilidad, hace que todo procedimiento de desinfección sea inútil, ya que una computadora volvería a infectarse al conectarse a una red o a Internet.
1. Actualice sus antivirus con las últimas definiciones
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados
Deshabilitar la opción de archivos compartidos
1. Pulse en Inicio, Configuración, Panel de Control (o Mi PC, Panel de Control). (En Windows Me, deberá pulsar "Ver todas las opciones del Panel de Control" si no ve el icono "Red").
2. Haga doble clic sobre el icono "Red".
3. Seleccione la etiqueta "Configuración".
4. Por cada línea que contenga "TCP/IP ->", ejecute los siguientes pasos (5, 6, 7 y 8):
5. Seleccione la línea.
6. Pulse en el botón "Propiedades" (dependiendo la versión de Windows, puede recibir una advertencia sobre los iconos de conexión, ignórela y pulse "Aceptar").
7. Seleccione la etiqueta "Enlaces".
Allí podría encontrar algo como esto:
[ ] Cliente para redes Microsoft
[ ] Compartir impresoras y archivos para redes Microsoft
O al menos UNO de ellos.
8. Desmárquelos a TODOS, y luego pulse en "Aceptar".
Recibirá un mensaje de advertencia sobre que usted no ha seleccionado ningún vínculo o enlace para ese adaptador. Ignórelo y seleccione que NO desea asignarle nada.
9. Repita este paso por cada línea con "TCP/IP ->".
Borrar los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre los siguientes
archivos (según las versiones, es probable no estén todos
ellos):
C:\ScrSin.dat
C:\ScrSout.dat
C:\tmp.ini
C:\Windows\ScrSvr.exe
C:\Windows\ScrSin.dat
C:\Windows\ScrSout.dat
C:\Windows\ScrLog
C:\Windows\ScrLog2
C:\Windows\BRASIL.PIF
C:\Windows\BRASIL.EXE
C:\put.ini
C:\BRASIL.DAT
C:\BRASIL!.DAT
C:\Windows\ALEVIR.EXE
C:\Windows\PUTA!!.EXE
C:\Windows\MARCO!.SCR
C:\GAY.INI
C:\Mane!!.dat
C:\FDP!!!!.dat
C:\vaisef.exe
C:\Windows\INSTIT.BAT
C:\INSTITU
C:\GUSTAV.SAP
C:\INSTITU.VAT
C:\WIN.INI
C:\Windows\MQBKUP.EXE
C:\Windows\MSBIND.DLL
C:\Windows\MSCAT32.DLL
C:\MSLICENF.COM
\BOOT.EXE
\BOOTSECT.DOS
C:\Windows\MSTASK.EXE
C:\Windows\System\WINSRV.EXE
C:\Windows\System\SCR.SCR
C:\Windows\MSLOAD.EXE
C:\Windows\MSBIND.DLL
Si existe algún archivo en el formato C:\nombre.INI
en el raíz de cada unidad C (tanto en la computadora
local como en cada máquina de una red), diferente a los
mencionados en la lista anterior, bórrelo (o renómbrelo si
tiene dudas, por ejemplo como Nombre.OLD).
Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas (aparece una
sola, de acuerdo a la versión del gusano):
ScrSvr
ScrSvrOld
Brasil
Alevir
Puta!!
cronos
Cuzao!Old
instit
mqbkup
mstask
Winsrv
scr
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre las siguientes entradas (aparece una
sola, de acuerdo a la versión del gusano):
LoadManager
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Editar el archivo WIN.INI (Windows 95, 98 y Me)
1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.
2. Busque lo siguiente (de acuerdo a la versión aparece una
sola de las siguientes entradas):
[Windows]
run = C:\tmp.ini
[Windows]
run = C:\Windows\ScrSvr.exe
[Windows]
run = C:\Windows\BRASIL.PIF
[Windows]
run = C:\Windows\BRASIL.EXE
[Windows]
run = C:\Windows\ALEVIR.EXE
[Windows]
run = C:\Windows\PUTA!!.EXE
[Windows]
run = C:\put.ini
[Windows]
run = C:\Windows\MARCO!.SCR
[Windows]
run =
C:\GAY.INI
[Windows]
run = C:\Windows\Instit.bat
[Windows]
Run = C:\Windows\MQBKUP.EXE
[Windows]
Run = C:\Windows\MSTASK.EXE
Debe quedar como:
[Windows]
run=
3. Grabe los cambios y salga del bloc de notas.
4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Método para revisar Autoexec.bat
Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse OK.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat
3. Borre todas las líneas que contengan el comando @MSLICENF.COM si éste existiera:
4. Seleccione Archivo, Guardar, para grabar los cambios.
En Windows Millenium, deberá reinstalar los siguientes archivos:
C:\IO.SYS
C:\COMMAND.COM
C:\Windows\System\REGENV32.EXE
Para ello utilice la siguiente técnica:
1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.
2. Pinche en el botón "Extraer archivo"
3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar (uno por vez):
IO.SYS
COMMAND.COM
REGENV32.EXE
4. Pinche en "Iniciar".
5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).
6. En "Guardar archivo en" asegúrese de tener C:\ para IO.SYS y COMMAND.COM, y
C:\Windows\System para REGENV32.EXE.
7. Pinche en "Aceptar".
8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").
9. Reitere todos los pasos para cada uno de los tres archivos
a recuperar.
En caso de fallar este intento de recuperación, deberá
reinstalar Windows Me desde el CD de inicio o iniciando con un
disquete y luego ejecutando INSTALAR.EXE del CD.
Instalar parche para vulnerabilidad "Share Level Password".
Descargue el parche necesario según se explica en el siguiente artículo (inglés):
http://www.microsoft.com/technet/security/bulletin/ms00-072.asp
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Más información:
W32/Opasoft.B. Variante del Opasoft.A en la calle
http://www.vsantivirus.com/opasoft-b.htm
W32/Opasoft.D. Nueva variante y cómo se propaga
http://www.vsantivirus.com/opasoft-d.htm
W32/Opasoft.E (Silbra). Variante con el nombre de BRASIL
http://www.vsantivirus.com/opasoft-e.htm
W32/Opasoft.F. Se copia en "C:\Windows\Alevir.exe"
http://www.vsantivirus.com/opasoft-f.htm
W32/Opasoft.G. Se copia en "C:\Windows\Puta!!.exe"
http://www.vsantivirus.com/opasoft-g.htm
W32/Opasoft.H. Se copia como "MARCO!.SCR"
http://www.vsantivirus.com/opasoft-h.htm
W32/Opasoft.I. Se copia como "INSTIT.BAT"
http://www.vsantivirus.com/opasoft-i.htm
W32/Opasoft.J. Usa "MQBKUP.EXE", borra duro y CMOS
http://www.vsantivirus.com/opasoft-j.htm
W32/Opasoft.K. Usa "MSTASK.EXE" para propagarse
http://www.vsantivirus.com/opasoft-k.htm
W32/Opasoft.M. Ejecuta "MSTASK.EXE" y borra CMOS y duro
http://www.vsantivirus.com/opasoft-m.htm
W32/Opasoft.P. Detiene antivirus, borra el disco duro
http://www.vsantivirus.com/opasoft-p.htm
W32/Opasoft.X. Se propaga vía recursos compartidos
http://www.vsantivirus.com/opasoft-x.htm
W32/Opasoft.Y. Se propaga vía recursos compartidos
http://www.vsantivirus.com/opasoft-y.htm
El ISC advierte sobre aumentos de escaneos al puerto 137
http://www.vsantivirus.com/30-09-02.htm
Curiosidades del puerto 137
http://www.vsantivirus.com/p137.htm
Actualizaciones:
7/oct/02 - Modificaciones para las versiones "B" y
"D".
21/oct/02 - Modificaciones para la versión "E".
24/oct/02 - Modificaciones para las versiones "F" y
"G".
29/oct/02 - Modificaciones para
la versión "H".
6/nov/02 - Modificaciones en las instrucciones de eliminación
12/nov/02 - Modificaciones para
la versión "I".
24/dic/02 - Modificaciones para
la versión "J".
27/dic/02 - Modificaciones para
la versión "K".
28/dic/02 - Modificaciones para
la versión "M".
4/mar/03 - Modificaciones para
la versión "P".
14/mar/03 - Alias: Worm/Opas.A, Opas
23/set/03 - Modificaciones en la descripción
23/set/03 - Información sobre las versiones X e Y
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|