NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

Nueva Variante de w32/Opaserv que se detiene desde 4239 y SP1 controlando Unidades de Red

TIENE PAYLOAD DESTRUCTIVO (BORRA LOS DATOS DEL DISCO DURO)

 

Nombre de virus: W32 / OPASERV.WORM.m
Alias conocidos:
Troj.Win32.KillWin , TROJ_WINKILL.A , Win32.Opaserv.I
Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)

Activación: Por simple conexión a Internet con Windows 95, 98 y Me, compartiendo recursos
Propagación: Por búsqueda de IP aleatorias activas en Internet, infectándolas si no lo evitan
Detección: desde DATS 4239
Motor necesario: desde 4.1.60

Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de otra variante del virus W32/OPASERV, muy conocido por sus múltiples variantes ya controladas, y que ha incordiado consecuentemente (y sigue y seguirá incordiando) por su técnica de intrusión vía recursos compartidos, y escritura remota en el Win.ini de la carga del mismo en los siguientes reinicios. Hay que resaltar la ALTA PELIGROSIDAD DE ESTA NUEVA VARIANTE, pues a diferencia de las anteriores, esta tiene payload destructivo, borrando los datos del disco duro

Este virus se detiene desde DATS 4239, disponibles en nuestra web www.satinfo.es, siempre y cuando se tenga instalado el SP1 (Service Pack 1) de la Versión 4.5.1 del VIRUSSCAN, y configurado el VSHIELD controlando las Unidades de Red (Ver AL RESPECTO nuestro boletín de SEGURIDAD)

La progresión de este virus, si logra entrar en un ordenador por falta de cualquiera de las condiciones antes indicadas, es la de copiar en el directorio de Windows, el fichero MQBKUP.EXE, y modificar el WIN.INI instalando en la línea RUN = la carga de :\Windows\MQBKUP.EXE, al estilo de la carga de SCRSVR.EXE o BRASIL.EXE, etc de versiones anteriores del OPASERV.

Al estilo de sus anteriores variantes, este virus se propaga a todas las unidades de la red interna, copiando en el directorio de Windows el fichero MQBKUP.EXE y creando la línea de carga en lel RUN del Win.ini, propagando el virus en todas las máquinas que puede de la empresa afectada., (en las que no haya o no esté activo el VSHIELD antes indicado).

La ejecución del fichero gusano creará una nueva clave en el registro de sistema que ejecutará el gusano en cada reinicio, asegurando así su ejecución por este método además de la carga desde el Win.ini

 

ACTIVACION (PAYLOAD):

El gusano tiene programado crear el fichero el fichero C:\MSLICENF.EXE que borrará los datos del disco duro al ser ejecutado desde el AUTOEXEC.BAT, provocando su ejecución por la creación y ejecución de otro fichero , el BOOT.EXE, que reiniciará el equipo provocando el reinicio y consecuente ejecución del AUTOEXEC, que incluirá la fatídica ejecución del MSLICENCF.EXE, que presentará en pantalla el siguiente mensaje sobre licencia pirata del producto, mientras borrará el disco duro

 

Illegal Microsoft Windows license detected !

You are in violation of the Digital Millenium Coppyright Act !

Your unauthorized license has been revoked

For more information, please call us at:

1-888-NOPIRACY

If you are outside the USA, please look up the correct contact

Information, in our website, at:

www .bsa .org

Busines Software Alliance

Promoting a safe & legal online world.

 

ELIMINACION:

Para la eliminación del virus, hemos creado la versión 1.6 de nuestra utilidad ELIOPA.EXE , que detendrá el proceso vírico en memoria, borrará los ficheros gusano y las claves del registro de sistema afectadas por el virus, además de restaurar la normalidad en el fichero Win.INI, modificado por el virus), tras lo cual es recomendable instalar en el AUTOEXEC.BAT la carga de versión 1.4 del ELIRUNX.EXE y si ya estaba instalado, actualizar los ficheros ELIOPA.EXE y ELIRUN.EXE por los de la nueva versión.

Es importante que antes de ejecutar cualquier utilidad eliminadora de virus, se desactive el VSHIELD residente, lo cual se logra fácilmente pulsando con el Botón derecho sobre el icono del VSHIELD, dentro de la barra de INICIO, e indicar SALIR.

 

Para descargar las utilidad correspondiente: :

Pulsar aquí para bajar el ELIOPA.EXE (versión 1.6 ó superior)

Pulsar aquí para bajar el ELIRUNX.EXE (versión 1.4 ó superior)

 

POR LAS FECHAS EN QUE SE EMITE ESTE COMUNICADO, APROVECHAMOS PARA DESEAR UNAS FELICES NAVIDADES Y UN PROXIMO AÑO 2003 SIN INCIDENTES INFORMATICOS

 

SATINFO, VIRUSCAN SPAIN SERVICE 24 de Diciembre de 2002

Anterior