[SECURITY-L] Worm OpaServ comeca a se disseminar com maior velocidade
Daniela Regina Barbetti Silva
daniela em ccuec.unicamp.br
Qua Out 2 16:56:23 -03 2002
----- Forwarded message from Andre Aparecido Nogueira <andre em agr.unicamp.br> -----
From: Andre Aparecido Nogueira <andre em agr.unicamp.br>
Subject: Worm OpaServ começa a se disseminar com maior velocidade
To: Daniela Regina Barbetti <daniela em ccuec.unicamp.br>
Date: Wed, 02 Oct 2002 13:01:52 -0300
*Worm OpaServ começa a se disseminar com maior velocidade*
*Autor:* Francisco Panizo - *Fonte:* Vírus Alerta
(id_news # 105 - incluída em 2/10/2002 12:43:31)
O worm W32/OpaServ.Worm tem aumentado sua cota de máquinas infectadas
nos últimos dias. Embora de baixo nível destrutivo, ele se espalha
dentro das redes corporativas e departamentais, causando uma rápida
infecção de todas as máquinas não devidamente protegidas da rede.
Esse worm se atualiza pela Internet, através de acesso à um site
(www.opasoft.com), ao qual também transmite dados das redes contimadas
por ele. No momento o site parece que foi retirado do ar.
Ao ser executado numa máquina, ele cria um arquivo na pasta do
Windows, com o nome ScrSVr.exe. Ele também tenta acessar todas as
máquinas da rede local, e se encontrar pastas compartilhadas, se auto-
copia para tais máquinas, infectando-as também.
Nas máquinas remotamente infectadas ele também cria um arquivo de nome
TMP.INI - sempre no diretório Raiz do drive C: - com cópia do arquivo
WIN.INI, no qual ele altera a entrada RUN, fazendo-a apontar para o
temp.ini, o que garante sua execução nos boots dessas máquinas.
Nas máquinas onde a infecção ocorreu em primeiro lugar, esse worm cria
uma chave no Registro, com o objetivo de executar-se a cada reinício
do Windows.
------------------------------------------------------------------------
--
Andre Aparecido Nogueira
Faculdade de Eng. Agricola - UNICAMP
Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios.
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L