[SECURITY-L] Worm OpaServ comeca a se disseminar com maior velocidade

[Daniela Regina Barbetti Silva]

----- Forwarded message from Andre Aparecido Nogueira <andre em agr.unicamp.br> -----

From: Andre Aparecido Nogueira <andre em agr.unicamp.br>
Subject: Worm OpaServ começa a se disseminar com maior velocidade
To: Daniela Regina Barbetti <daniela em ccuec.unicamp.br>
Date: Wed, 02 Oct 2002 13:01:52 -0300


*Worm OpaServ começa a se disseminar com maior velocidade*
    *Autor:* Francisco Panizo  -  *Fonte:* Vírus Alerta
    (id_news # 105 - incluída em 2/10/2002 12:43:31)

O worm W32/OpaServ.Worm tem aumentado sua cota de máquinas infectadas 
nos últimos dias. Embora de baixo nível destrutivo, ele se espalha 
dentro das redes corporativas e departamentais, causando uma rápida 
infecção de todas as máquinas não devidamente protegidas da rede.

Esse worm se atualiza pela Internet, através de acesso à um site 
(www.opasoft.com), ao qual também transmite dados das redes contimadas 
por ele. No momento o site parece que foi retirado do ar.

Ao ser executado numa máquina, ele cria um arquivo na pasta do 
Windows, com o nome ScrSVr.exe. Ele também tenta acessar todas as 
máquinas da rede local, e se encontrar pastas compartilhadas, se auto-
copia para tais máquinas, infectando-as também.

Nas máquinas remotamente infectadas ele também cria um arquivo de nome 
TMP.INI - sempre no diretório Raiz do drive C: - com cópia do arquivo 
WIN.INI, no qual ele altera a entrada RUN, fazendo-a apontar para o 
temp.ini, o que garante sua execução nos boots dessas máquinas.

Nas máquinas onde a infecção ocorreu em primeiro lugar, esse worm cria 
uma chave no Registro, com o objetivo de executar-se a cada reinício 
do Windows.

------------------------------------------------------------------------

-- 
      Andre Aparecido Nogueira
      Faculdade de Eng. Agricola - UNICAMP
      Adm. de Redes Windows_NT e LINUX/Suporte aos Usuarios.


----- End forwarded message -----