Ir ao conteúdo
  • Cadastre-se

retirar virus Opanserv


Anderson victor

Posts recomendados

Como se defender do : w32/OpaServ.Worm

Descrição Resumida: O worm W32/OpaServ.Worm tem aumentado sua cota de máquinas infectadas nos últimos dias. Embora de baixo nível destrutivo, ele se espalha dentro das redes corporativas e departamentais, causando uma rápida infecção de todas as máquinas não devidamente protegidas da rede. Seu tamanho é de exatos 28.672 bytes.

Esse worm se atualiza pela Internet, através de acesso à um site (www.opasoft.com), ao qual também transmite dados das redes contimadas por ele. No momento o site parece que foi retirado do ar.

O worm OpaServ coleta informações das máquinas conectadas à rede local, tal como o nome do computador e o nome do domínio, as quais são enviadas para o site acima citado. Nos casos de sistemas com as versões NT, 2000 e XP, erros em sua programação evitam quase sempre a infecção desses sistemas.

Ao ser executado numa máquina, ele cria um arquivo na pasta do Windows, com o nome ScrSVr.exe. Ele também tenta acessar todas as máquinas da rede local, e se encontrar pastas compartilhadas, se auto-copia para tais máquinas, infectando-as também.

Nas máquinas remotamente infectadas ele também cria um arquivo de nome TMP.INI - sempre no diretório Raiz do drive C: - com cópia do arquivo WIN.INI, no qual ele altera a entrada RUN, fazendo-a apontar para o temp.ini, o que garante sua execução nos boots dessas máquinas.

Essa entrada é similar à: run = c:\windows\SCRSVR.EXE

Nas máquinas onde a infecção ocorreu em primeiro lugar, esse worm cria uma chave no Registro, com o objetivo de executar-se a cada reinício do Windows. A chave é:

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run

"ScrSvr" = %WinDir%\ScrSvr.exe

Nessa máquina "disseminadora" ele cria dois arquivos no diretório raiz, com os nomes de scrsin.dat e scrsout.dat.

Indicação de Infecção:

Presença dos arquivos citados acima (TMP.INI e SCRSVR.EXE, para as máquinas contaminadas pela rede local - SCRSIN.DAT, SCRSOUT.DAT e SCRSVR.EXE para a máquina disseminadora), e alteração dos arquivos citados (WIN.INI e TMP.INI, para as máquinas contaminadas pela rede local - chave do Registro, para a máquina disseminadora).

Descontaminação Automática:

Baixe o arquivo de remoção disponibilizada em nossa seção Vacinas e execute-o.

Descontaminação Manual:

Antes de iniciar a descontaminação da rede local deve-se desconectá-las totalmente dos cabos da rede, ação que só deve ser revertida ao final da descontaminação da última máquina existente na rede.

1. Remova a chave do registro que aponta para esse worm (em alguns casos a chave é chamada ScrSvrOld, embora na maioria das vezes ela tenha apenas o nome ScrSvr);

2. Delete os arquivos ligados ao worm (TEMP.INI, SCRSIN.DAT e SCRSOUT.DAT);

3. Remova a entrada RUN do arquivo WIN.INI;

Apelidos/Variantes: BackDoor-ALB, Backdoor.Opasoft, Bck/Opasoft, W95/Scrup.worm, Win32.Opasoft, WORM_OPASOFT

Link para o comentário
Compartilhar em outros sites

Link para o comentário
Compartilhar em outros sites

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...