|
VSantivirus No. 1992 Año 9, jueves 22 de diciembre de 2005
Opaserv.BA. Se copia como "MARCO!.SCR"
http://www.vsantivirus.com/opaserv-ba.htm
Nombre: Opaserv.BA
Nombre NOD32: Win32/Opaserv.BA
Tipo: Gusano de Internet
Alias: Opaserv.BA, Net-Worm.Win32.Opasoft.a.pac, Opaserv.I, W32.OpaServ.A, W32.Opaserv.G.Worm, W32/Opaserv.H, W32/Opaserv.I, W32/Opaserv.worm.D, W32/Opaserv.worm.gen, W32/Opaserv.worm.i, W32/Opaserv-A, Win32.Opasoft, Win32.Worm.Opaserv.1.Gen, Win32/Opaserv.BA, Win32/Opaserv.G, Win32/Opaserv.G!Worm, Win32:Opas-D, Worm.OpaSoft.E, Worm.Opasoft.G, Worm.Win32.Opasoft.A, Worm.Win32.Opasoft.c, Worm/OpaSoft.D
Fecha: 21/dic/05
Plataforma: Windows 32-bit
Tamaño: 20,480 bytes
Similar en sus funciones a Opasoft.A, se propaga a través de los recursos compartidos con acceso permitido (unidad C). Se aprovecha de una vulnerabilidad que permite el acceso remoto aún sin conocer la contraseña, en caso de tenerla.
No posee rutinas destructivas.
Esta versión ha sido comprimida y encriptada con varias herramientas, con lo que cambia su tamaño y su apariencia.
Cuando esta versión del gusano detecta una unidad C accesible a través de los recursos compartidos, copia el archivo MARCO!.SCR en el directorio de Windows de dicha unidad:
c:\windows\marco!.scr
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
Al mismo tiempo, en las máquinas remotas, el gusano crea un archivo llamado GAY.INI en el raíz de la unidad C, copiando el contenido del archivo C:\WINDOWS\WIN.INI original en él. Luego agrega la siguiente entrada en la sección [windows] de GAY.INI:
run = c:\windows\marco!.scr
Después copia el contenido de GAY.INI sobre WIN.INI (para impedir su reinstalación, se debe eliminar también el archivo C:\GAY.INI).
Esto permite que el archivo MARCO!.SCR se ejecute al reiniciarse la computadora remota.
Con el mismo objetivo, también agrega la siguiente clave al registro de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cronos = "c:\windows\marco!.scr"
También agrega esta otra clave, pero solo la primera vez que se ejecuta (luego es borrada por el propio gusano):
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cuzao!Old = [nombre y ubicación del archivo original]
El gusano crea también los siguientes archivos:
c:\mane!!.dat
c:\fdp!!!!.dat
c:\vaisef.exe
Esos archivos son utilizados cuando intenta conectarse a determinados servidores de Internet para enviar y recibir información.
El gusano posee la capacidad de propagarse a través de recursos compartidos en redes de computadoras usando el puerto 139 (Netbios, NETBeui). Si su computadora tiene activa la opción "Compartir impresoras y archivos para redes Microsoft", podría ser accedida a través de Internet, y por lo tanto ser infectada con este gusano. Netbios utiliza además el puerto 137 para la búsqueda del "nombre de Windows" correspondientes a los recursos compartidos.
Para estas acciones, el gusano hace uso del protocolo de comunicación llamado SMB (Server Message Block Protocol), el cuál es empleado por los sistemas operativos basados en MS-Windows para acceder a los recursos compartidos de una red, a través del puerto 139 (NetBeui en sistemas Microsoft Windows).
Para acceder a estos recursos, el gusano se aprovecha de una vulnerabilidad conocida desde hace mucho tiempo, respecto a la forma en que Windows (95, 98, 98 SE y Me) verifica las contraseñas en una red compartida, de modo que puede llegar a aceptar un solo carácter (letra o número), sin importar lo larga que sea la contraseña.
La corrección para esta fallo en esos sistemas operativos, está disponible desde octubre de 2000
(http://www.microsoft.com/technet/security/bulletin/MS00-072.mspx).
Esta vulnerabilidad no afecta a Windows NT, 2000, XP o 2003. Adicionalmente, en las versiones vulnerables de Windows solo pueden verse afectados recursos compartidos con el mismo nivel de acceso permitido (dominio), y en Windows 95, 98, 98 SE y Me, solo existe el nivel de usuario.
Opasoft se propaga explotando la vulnerabilidad mencionada, intentando específicamente copiarse al recurso "C", que es el nombre por defecto para el raíz de la unidad de disco "C:", siempre que tenga el acceso de lectura y escritura habilitados, o también a través de direcciones IP seleccionadas al azar.
No corregir esta vulnerabilidad, hace que todo procedimiento de desinfección sea inútil, ya que una computadora volvería a infectarse al conectarse a una red o a Internet.
La presencia de un cortafuegos que bloquee el acceso mediante Netbios, también impide la propagación del gusano (ZoneAlarm por ejemplo).
El hecho que el servidor desde donde el gusano podría actualizarse mediante la descarga de un archivo, haya sido dado de baja, hace que el único riesgo que este gusano presenta por el momento, es el de su propagación.
Las instrucciones para remover este gusano son las mismas que para el Opasoft.A:
http://www.vsantivirus.com/opasoft-a.htm
Más información:
W32/Opasoft.A. Se propaga a través del puerto 139
http://www.vsantivirus.com/opasoft-a.htm
Curiosidades del puerto 137
http://www.vsantivirus.com/p137.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|