NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

INFORMACION SOBRE NUEVAS VARIANTES DEL VIRUS W32/OPASERV.WORM Y UTILIDADES

Tras la aparición del virus W32/Opaserv.worm, detectado como Backdoor ALB desde el mismo día de su aparición, con DATS 4226, y como Opaserv con DATS 4227, 4228 y 4229, han aparecido dos nuevas variantes, muy parecidas pero encriptadas y comprimidas, para que no sean reconocidas por la misma secuencia que el original, pasando a ser detectadas desde versión de DATS 4230 disponible el 24-10-2002 (o a partir de SDATDAILY de fecha 21.10.03), y que dada la propagación del Opaserv original a través de recursos compartidos, bien por ausencia de los DATS correspondientes o por no tener aplicado el SERVICE PACK 1 para el VIRUSCAN versión 4.5.1, (incluido en el CDROM 4200 del pasado mes de Mayo 02, y disponible en nuestra web, www.satinfo.es , vsc451less1.zip).

Si se ha introducido dicho virus, bien por falta de los nuevos DATS o por falta del SP1, o por la falta de los dos al mismo tiempo, ofrecemos dos nuevas utilidades con las que eliminar el gusano y las claves, así como borrar del WIN.INI la línea de carga del mismo, en cualquiera de sus tres variantes conocidas hasta el momento, la primera que utiliza el fichero SCRSVR.EXE, la segunda con el BRASIL.PIF, y la tercera con el BRASIL.EXE.

Con la ejecución de la utilidad ELIOPA.EXE se eliminará el proceso del virus y a continuación se eliminará el gusano (además de restaurarse la clave del registro de sistema modificada por el virus) y borrará la línea de carga del gusano en RUN = del WIN.INI (Para las tres variantes indicadas)

Además ofrecemos el ELRUN3.EXE, que facilitará la eliminación de la línea de carga del virus en el WIN.INI, aunque el virus no hubiera podido entrar, o ya hubiera sido eliminado, y que podrá colocarse en la primera línea del AUTOEXEC.BAT para que, cada vez que se arranque el ordenador, se examine el WIN.INI y, en el caso de existir dicha carga de cualquiera de los tres gusanos (SCRSVR.EXE, BRASIL.PIF o BRASIL.EXE), ya se borre o se inhabilite dicha línea.

Si existe alguno de estos tres ficheros en el directorio C:\Windows, y no es detectado por el antivirus, es muy probable que no esté actualizado con los últimos DATS o que no se tenga el motor (engine) 4.1.60, lo cual puede verse pulsando BOTON DERECHO sobre el icono del VSHIELD (en la barra de Inicio) y en ACERCA DE se verán los datos correspondientes, debiendo instalar los indicados si son anteriores a los últimos disponibles.

A título informativo, y en previsión de nuevos virus que modifiquen el WIN.INI cargando otros gusanos todavía inexistentes, hemos desarrollado la utilidad ELIRUNX.EXE que permitirá borrar de la línea RUN = del WIN.INI la carga de cualquier gusano cuyo nombre (o nombres, seguidos de un espacio) se indiquen a continuación, por ejemplo ELIRUNX GUSANO.EXE GUSANO.PIF, suponiendo que se quiera eliminar del WIN.INI la posible carga de cualquiera de los dos ficheros indicados, GUSANO.EXE o GUSANO.PIF. Con esto pretendemos adelantarnos a los virus que se creen en un futuro, y que, además de matar el virus, se precise eliminar dicha línea del WIN.INI, sea cual fuere el nombre del fichero, debiendo indicarlo a continuación del nombre de la utilidad ELIRUNX. Por supuesto que antes o después de ella pueden haber otras ejecuciones de otros ELIRUN, por ejemplo del ELIRUN3 indicado anteriormente para las variantes hasta hoy conocidas del Opaserv.

Todas estas utilidades las encontrarán en DESCARGAS de UTILIDADES DE SATINFO dentro de nuestra web www.satinfo.es, donde ya hay mas de 100 que permiten complementar al antivirus McAfee facilitando su instalación/desinstalación, así como la eliminación, restauración o incluso recuperación de ficheros, claves de registro, sectores de arranque, etc, modificados por los virus.

Ante cualquier duda o necesidad de aclaración, pueden contactar con nuestro HOT LINE 93 4590100 o por e-mail a sat@satinfo.es

 

 


SATINFO, VIRUSCAN SPAIN SERVICE 23 de Octubre de 2002

 

Anterior