Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Opasoft.D. Nueva variante y cómo se propaga
 
VSantivirus No. 822 - Año 6 - Lunes 7 de octubre de 2002

W32/Opasoft.D. Nueva variante y cómo se propaga
http://www.vsantivirus.com/opasoft-d.htm

Nombre: W32/Opasoft.D
Tipo: Gusano de Internet
Alias: Win32.Opaserv.D, Win32/Opaserv.D.Worm, W32/Opaserv.worm, W32.Opaserv.Worm
Fecha: 6/oct/02
Tamaño: 28 Kb (aprox.)
Plataforma: Windows 32-bits

Opasoft.D es similar en sus funciones a Opasoft.A y Opasoft.B. La principal diferencia con los anteriores, es que crea dos archivos de registro (logs) extras en el directorio de Windows:

C:\Windows\ScrLog
C:\Windows\ScrLog2

Cuando se ejecuta, el gusano se copia a si mismo en el directorio de Windows, y agrega las siguientes entradas en el registro, para autoejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ScrSvr = C:\Windows\ScrSvr.exe

'C:\Windows' puede variar de acuerdo a la versión de Windows instalada (por defecto 'C:\Windows' en Windows 9x/ME/XP o 'C:\WinNT' en Windows NT/2000).

También crea la siguiente entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ScrSvrOld = ScrSvr.exe

Esta segunda clave toma como valor el nombre del archivo desde donde se ejecutó originalmente el gusano, y luego es borrada.

Además, el gusano crea los siguientes archivos:

C:\Windows\ScrSin.dat
C:\Windows\ScrSout.dat

Forma de propagación

Este gusano posee la capacidad de propagarse a través de recursos compartidos en redes de computadoras usando el puerto 139 (Netbios, NETBeui). Si su computadora tiene activa la opción "Compartir impresoras y archivos para redes Microsoft", podría ser accedida a través de Internet, y por lo tanto ser infectada con este gusano. Netbios utiliza además el puerto 137 para la búsqueda del "nombre de Windows" correspondientes a los recursos compartidos.

Para estas acciones, el gusano hace uso del protocolo de comunicación llamado SMB (Server Message Block Protocol), el cuál es empleado por los sistemas operativos basados en MS-Windows para acceder a los recursos compartidos de una red, a través del puerto 139 (NetBeui en sistemas Microsoft Windows).

Para acceder a estos recursos, el gusano se aprovecha de una vulnerabilidad conocida desde hace mucho tiempo, respecto a la forma en que Windows (95, 98, 98 SE y Me) verifica las contraseñas en una red compartida, de modo que puede llegar a aceptar un solo carácter (letra o número), sin importar lo larga que sea la contraseña.

La corrección para esta falla en esos sistemas operativos, está disponible desde octubre de 2000 (http://www.microsoft.com/technet/security/bulletin/ms00-072.asp).

Todos los usuarios que utilicen la opción de compartir archivos e impresoras con Windows 95, 98, 98 SE y Me, deben descargar e instalar el parche desde dicho enlace.

Desde que la falla fue revelada, existen códigos que explotan esta vulnerabilidad, pero Opasoft es el primer gusano que se aprovecha realmente de la misma.

Esta falla no afecta ni a Windows NT, ni 2000 ni XP. Adicionalmente, en las versiones vulnerables de Windows solo pueden verse afectados recursos compartidos con el mismo nivel de acceso permitido (dominio), y en Windows 95, 98, 98 SE y Me, solo existe el nivel de usuario.

Los primeros reportes de Opasoft sugerían que podía propagarse a través de recursos abiertos (sin contraseñas), y para evitar su propagación se aconsejaba no mantener estos configurados sin autenticación mediante contraseñas. Esto es incorrecto. Opasoft se propaga explotando la vulnerabilidad mencionada, intentando específicamente copiarse al recurso "C", que es el nombre por defecto para el raíz de la unidad de disco "C:", siempre que tenga el acceso de lectura y escritura habilitados, o también a través de direcciones IP seleccionadas al azar.

No corregir esta vulnerabilidad, hace que todo procedimiento de desinfección sea inútil, ya que una computadora volvería a infectarse al conectarse a una red o a Internet.

La presencia de un cortafuegos que bloquee el acceso mediante Netbios, también impide la propagación del gusano (como ZoneAlarm a nivel doméstico, por ejemplo).

El hecho que el servidor desde donde el gusano podría actualizarse mediante la descarga de un archivo, haya sido dado de baja, hace que el único riesgo que este gusano presenta por el momento, es el de su propagación.

Las instrucciones para remover este gusano son las mismas que para el Opasoft.A: http://www.vsantivirus.com/opasoft-a.htm


Más información:

W32/Opasoft.A. Se propaga a través del puerto 139
http://www.vsantivirus.com/opasoft-a.htm

W32/Opasoft.B. Variante del Opasoft.A en la calle
http://www.vsantivirus.com/opasoft-b.htm

W32/Opasoft.E (Silbra). Variante con el nombre de BRASIL
http://www.vsantivirus.com/opasoft-e.htm

W32/Opasoft.F. Se copia en "C:\Windows\Alevir.exe"
http://www.vsantivirus.com/opasoft-f.htm

W32/Opasoft.G. Se copia en "C:\Windows\Puta!!.exe"
http://www.vsantivirus.com/opasoft-g.htm

W32/Opasoft.H. Se copia como "MARCO!.SCR"
http://www.vsantivirus.com/opasoft-h.htm

W32/Opasoft.I. Se copia como "INSTIT.BAT"
http://www.vsantivirus.com/opasoft-i.htm

W32/Opasoft.J. Usa "MQBKUP.EXE", borra duro y CMOS
http://www.vsantivirus.com/opasoft-j.htm

W32/Opasoft.K. Usa "MSTASK.EXE" para propagarse
http://www.vsantivirus.com/opasoft-k.htm

W32/Opasoft.M. Ejecuta "MSTASK.EXE" y borra CMOS y duro
http://www.vsantivirus.com/opasoft-m.htm

El ISC advierte sobre aumentos de escaneos al puerto 137
http://www.vsantivirus.com/30-09-02.htm

Curiosidades del puerto 137
http://www.vsantivirus.com/p137.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS