Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

W32/Opasoft.N. Una versión no destructiva del gusano
 
VSantivirus No. 922 - Año 7 - Miércoles 15 de enero de 2003

 W32/Opasoft.N. Una versión no destructiva del gusano
http://www.vsantivirus.com/opasoft-n.htm

Nombre: W32/Opasoft.N
Tipo: Gusano de Internet
Alias: Opaserv.N, W32/Opaserv.N
Fecha: 14/ene/03
Tamaño: 18,432 bytes
Plataforma: Windows 32-bits
Fuente: Panda

Esta variante del Opasoft, no posee efectos destructivos, salvo su capacidad de propagarse a través de la red infectando otras computadoras.

Para ello, crea los siguientes archivos:

SRV32.EXE, en el directorio de Windows. Es una copia del gusano que contiene el código de infección.

SRVTSK y SRVRES, creados en el directorio raíz de la unidad C:.

TEMP.INI, una copia del archivo WIN.INI que obtiene de los equipos remotos a los que el gusano ataca de la siguiente forma:

El gusano realiza consultas WINS (a través del protocolo NetBIOS) a diferentes direcciones IP contiguas, en busca de unidades compartidas.

Una vez obtenido el nombre NetBIOS de la máquina, inicia una sesión remota y trata de acceder a la unidad C: de la máquina remota. Si lo consigue, se conectará a la unidad (independientemente de si se encuentra protegida con contraseña), y se copia con el nombre TEMP.INI, que inicialmente es una copia del archivo de sistema: WIN.INI, pero que se encuentra modificado al crearse la siguiente entrada:

[windows]
run = C:\WINDOWS\SRV32.EXE

Después, el gusano vuelve a renombrar el archivo TEMP.INI como WIN.INI en el equipo remoto, asegurando la ejecución del archivo en el próximo reinicio de la computadora infectada.

Finalmente, intenta conectarse a otras unidades de la misma subred del equipo atacado e incluso, trata de hacer lo mismo con unidades IP escogidas al azar.

Crea también los siguientes archivos, si no existen ya en el ordenador afectado:

SCRSVR.EXE
LEVIR.EXE
RASIL.EXE

Crea la siguiente entrada en el Registro de Windows :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
brasil = C:\Windows\SRV32.EXE

Con esta modificación, consigue ejecutarse en cada reinicio de Windows.

El gusano borra las siguientes entradas del Registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SCRSVR
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ALEVIR
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BRASIL

Con ello, pretende borrar los rastros de otras versiones anteriores del propio gusano.

Para propagarse utiliza principalmente unidades de red compartidas, actuando del siguiente modo:

Busca direcciones IP de la red, así como alguna otra IP aleatoria.

En esta búsqueda, envía una llamada al puerto 137.

Si hay respuesta, se transmite a través del puerto 139 copiándose en el directorio C:\Windows con el nombre: SRV32.EXE.

Para su eliminación manual ver el siguiente enlace:

W32/Opasoft.A. Se propaga a través del puerto 139
http://www.vsantivirus.com/opasoft-a.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS