Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat


VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.

W32/Opasoft.O. Se copia como "C:\Windows\Mqbkup.exe"
 
VSantivirus No. 922 - Año 7 - Miércoles 15 de enero de 2003

W32/Opasoft.O. Se copia como "C:\Windows\Mqbkup.exe"
http://www.vsantivirus.com/opasoft-o.htm

Nombre: W32/Opasoft.O
Tipo: Gusano de Internet
Alias: Opaserv.O, W32/Opaserv.O
Fecha: 14/ene/03
Tamaño: 28,672 bytes
Plataforma: Windows 32-bits
Fuente: Panda

Al igual que otras versiones, este gusano se activa en fechas iguales o posteriores al 24 de Diciembre de 2002, llegando a borrar la información almacenada en la CMOS (BIOS o Setup del ordenador) y el contenido del disco duro.

Se propaga a través de redes y recursos compartidos.

Una vez producida la infección, Opaserv.O reinicia la computadora afectada, mostrando el siguiente mensaje dentro de una ventana de MS-DOS:

NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act
Your unauthorized license has been revoked
For more information, please call us at:
NOPIRACY
If you are outside the USA, please look up the correct contact information on our website, at:
www.bsa.org
Business Software Alliance
Promoting a safe & legal online world

Luego de ello, se borra el contenido de la CMOS (BIOS) y del disco duro. Un examen posterior muestra tres particiones, una de ellas Novell (debido a la basura que se graba, no porque realmente lo sea).

El gusano crea los siguientes archivos:

MQBKUP.EXE, en el directorio de Windows. Es una copia del gusano que contiene el código de infección.

MSBIND.DLL y MSCAT32.DLL, creados en el directorio de Windows. Contienen información de otras computadoras infectadas. Ambos archivos están encriptados.

Para realizar su destructivas acciones, el gusano modifica o crea los siguientes archivos:

C:\MSLICENF.COM
C:\BOOTSECT.DOS
C:\BOOT.EXE

También modifica el contenido de los siguientes archivos:

AUTOEXEC.BAT, introduciendo la siguiente línea: 

@MSLICENF.COM

BOOT.INI, añadiendo la siguiente información: 

[boot loader]
default=C:\
C:\="Previous Operating System on C:"

MSDOS.SYS, introduciendo la siguiente información:

[Options]
Logo=0

Para asegurarse de que sus acciones más destructivas (borrado de la CMOS y del contenido del disco duro) se produzcan también en Windows Millennium, modifica los siguientes archivos de dicho Sistema Operativo:

C:\IO.SYS
C:\COMMAND.COM (1 byte)
C:\Windows\System\REGENV32.EXE

También crea la siguiente entrada en el registro de Windows, para poder autoejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mqbkup = C:\Windows\Mqbkup.exe

El gusano busca direcciones IP (computadoras) en la red (incluido Internet) que tengan el puerto 137 abierto. Si obtiene respuesta, Opaserv.O se trasmite por el puerto 139, copiándose en el directorio: C:\Windows de la computadora atacada, con el siguiente nombre:

MQBKUP.EXE

Para su eliminación manual ver el siguiente enlace:

W32/Opasoft.A. Se propaga a través del puerto 139
http://www.vsantivirus.com/opasoft-a.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS