Warning: Division by zero in /www/virusattack.com.ar/htdocs/virusattack/ranking/consultas.php on line 26
| VIRUS |
 |
| W32/Opaserv |
|
|
|
| Nombre: W32/Opaserv |
|
| Aliases: W32/Opaserv.worm, W32/Opaserv-A, Win32.Opaserv, WORM_OPASOFT.A |
|
| Variantes: Ninguna |
|
| Fecha de Descubrimiento: 30/09/2002 |
|
| Tipo: Gusano de internet - Recursos compartidos |
|
| Gravedad: Media |
|
| Origen: Desconocido |
|
| Fecha Ultimo Reporte: 10/10/2003 |
|
|
|
|
| Información: Es capaz de propagarse a través de recursos compartidos. Además puede descargar actualizaciones desde un sitio Web. |
|
|
|
Características: Cuando el gusano es ejecutado, chequea la existencia del valor ScrSvrOld en la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run, si existe elimina el archivo al cual apunta dicha clave. En el caso que no exista ahora chequea la existencia del valor ScrSvr en la misma clave del registro, si la misma no existiese agrega el valor ScrSvr C:\Windows\ScrSvr.exe.
Luego verifica si el archivo C:\Windows\ScrSvr.exe se encuentra corriendo, sino lo está agrega el valor ScrSvrOld (nomre original del gusano) a la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run.
Al finalizar, chequea la clave del registro y la ubicación desde donde el virus se está ejecutando, chequea, también si se encuentra actualmente activo creando un mutex llamado ScrSvr31415.
Si aun no se encuentra ejecutándose, se registra como un proceso bajo Windows 9x/Me. Bajo Windows NT/2000/XP eleva la prioridad del proceso.
El gusano busca a través de la red recursos al disco C\, al encontrarlos se copia allí como C\Windows\Crsvr.exe.
Además, modifica el archivo Win.ini agregando la linea run= C:\tmp.ini, y luego crea el archivo tmp.ini el cual contiene el texto run= c:\windows\scrsvr.exe.
Intentará, por último, actualizarse conectandose a una URL incluida en su código, para bajar un archivo llamado Scrupd.exe.
|
|
|
|
| Para eliminarlo: Las grandes compañías desarrolladoras de antivirus ya han actualizado sus definiciones para detectar este virus. Para ver una lista de las direcciones de dónde bajar estos archivos, haz click aquí. Además, Symantec, ha desarrollado una herramienta capaz de desinfectar este virus de un sistema. Para lograrlo, ésta, realiza las siguientes acciones:
1. Terminar todos los procesos activos del gusano.
2. Eliminar cualquier archivo ejecutable del virus.
3. Remover las entradas del registro.
4. Restaurar el archivo Win.ini.
Los usuarios deberán seguir los siguientes pasos para eliminarlo correctamente:
NOTA: Bajo Windows NT/2000/XP debes tener privilegios de administrador para correr esta herramienta.
1. Bajar el archivo FixOpsrv.exe desde:
http://securityresponse.symantec.com/avcenter/FixOpsrv.exe
2. Salvar dicho archivo en una ubicación conveniente, como el Escritorio o Mis documentos.
3. Cerrar todos los programas antes de ejecutarla.
4. Si el equipo se encuentra conectado a internet y/o a una red, desconectarlo de ambas.
5. Si el sistema es Win Me o Xp, deshabilitar la opción de Restaurar Sistema.
6. Doble click sobre el archivo FixOpsrv.exe para ejecutar la herramienta.
7. Click en Start para empezar el proceso.
8. Una vez finalizada, reiniciar el sistema.
9. Ejecutar nuevamente la herramienta para asegurarse que el sistema se encuentra limpio.
10. Bajo Win Me o Xp, rehabilitar la opción de Restaurar el Sistema.
11. Actualizar el antivirus que se posea en el equipo y realizar un escaneo con él para eliminar cualquier tipo de
rastro del mismo.
|
|
|
|
|
| Agregado el: 02/10/2002 |
|
| Modificado el: // |
|
|
|
|
 |
W32/Cuydoc: Solo infecta versiones en Español de Windows. Es capaz de eliminar todos los archivos .doc de Mis documentos y copiarse a la unidad A: si algún disquete es encontrado.  |
|
| W32/IRCBot.B: Se trata de una variante de la familia SDBot. Fue detectado propagándose a través del correo electrónico, como spam, pero no tiene ninguna rutina para propagarse por ese medio. En cambio, puede ser distribuido a través de los canales de IRC. |
|
|
|
 |
Virus más reportados en los últimos 30 días:
|
|
|
 |
|
Podés incorporar nuestras noticias y alertas en tu sitio:
|
|
|
0
|
