NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

Nueva Variante del Opaserv que se controla desde DATS 4240 y engine 4.1.60 con v451 SP1 teniendo configuración obtenida con la ejecución de CFGVS451.EXE (control unidades de Red)

TIENE PAYLOAD DESTRUCTIVO (SOBREESCRIBE LOS DATOS DEL DISCO DURO)

Nombre de virus: W32/OPASERV.WORM.n
Alias conocidos: Win32.Opaserv.h , W32/Opaserv.m
Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)
Activación: Por simple conexión a Internet con Windows 95, 98 y Me, compartiendo recursos
Propagación: Por búsqueda de IP aleatorias activas en Internet
Detección: desde DATS 4240
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de otra variante del virus W32/OPASERV, muy conocido por sus múltiples variantes ya controladas, y que ha incordiado consecuentemente (y sigue y seguirá incordiando) por su técnica de intrusión vía recursos compartidos, y escritura remota en el Win.ini de la carga del mismo en los siguientes reinicios. El fichero que utiliza esta variante para ello es el MSTASK.EXE

Al igual que la última variante notificada el pasado dia 24 (variante m, que utilizaba el MQBKUP.EXE), tiene payload destructivo y es tan peligroso como el anterior, llegando a sobreescribir todo el disco duro y borrando el contenido de la CMOS.

Está controlada por el antivirus a partir de DATS 4240, disponibles en nuestra web www.satinfo.es , y con SP1 (Service Pack 1) de la Versión 451 del VIRUSSCAN, y configurado el VSHIELD controlando las Unidades de Red (Ver al respecto nuestro boletín de SEGURIDAD).

Tantas variantes de esta familia son la demostración de lo fácil que es la introducción de un gusano en el ordenador, pues siempre, antes de que existan los DATS que controlen a un determinado virus, hay los primeros usuarios infectados que nos informan de anomalías y que una vez analizadas, se controlan si se trata realmente de un nuevo virus. Por ello, siempre que se pueda, es conveniente complementar a los antivirus con un FIREWALL o cortafuegos, a ser posible por hardware, para que no lo puedan borrar ni desactivar virus como el YAHA, impidiendo el acceso remoto o intrusiones, en ningún caso deseables. En la entrada de nuestra página web ofrecemos dos gamas de cortafuegos: los CLAVISTER, de altas prestaciones, para redes informáticas de medianas y grandes empresas, y los ALPHASHIELD , para uso de profesionales autónomos y pymes. Los primeros son configurables y adaptables a las necesidades del usuario, mientras que los segundos son de muy simple instalación, intercalándolos entre el router y el hub/switch o el PC, sin necesidad de configuración alguna. Recomendamos contemplar su instalación al ser definitivo, sin actualizaciones futuras ni costes de mantenimiento, si bien sólo evitan las intrusiones (y en el caso de virus por intrusión, tanbién las entradas de este tipo de virus, como son todos los de la familia OPASERV.)

La progresión de este virus, si logra entrar en un ordenador por falta de cualquiera de las condiciones antes indicadas, es la de copiar en el directorio de Windows, el fichero MSTASK.EXE, y modificar el WIN.INI instalando en la línea RUN = la carga de :\Windows\Mstask.EXE, al estilo de la carga de SCRSVR.EXE o BRASIL.EXE, etc de versiones anteriores del OPASERV.

Al estilo de sus anteriores variantes, este virus se propaga a todas las unidades de la red interna, copiando en el directorio de Windows el fichero MSTASK.EXE y creando en el RUN del Win.ini, la carga del mismo, propagando el virus en todas las máquinas que puede de la empresa afectada (en las que no haya o no esté activo el VSHIELD antes indicado).

La ejecución del fichero gusano creará una nueva clave en el registro de sistema que ejecutará el gusano en cada reinicio, asegurando así su ejecución por este método, además de la carga desde el Win.ini

 

ACTIVACION (PAYLOAD):

El gusano tiene programado crear el fichero el fichero C:\MSLICENF.EXE que sobreescribirá los datos del disco duro al ser ejecutado desde el AUTOEXEC.BAT, provocando su ejecución por la creación y ejecución de otro fichero, el BOOT.EXE, que reiniciará el equipo provocando el reinicio y consecuente ejecución del AUTOEXEC, que incluirá la fatídica ejecución del MSLICENCF.EXE, que presentará en pantalla el siguiente mensaje sobre licencia pirata del producto, mientras borrará el disco duro

 

 

Illegal Microsoft Windows license detected !

You are in violation of the Digital Millenium Coppyright Act !

Your unauthorized license has been revoked

For more information, please call us at:

1-888-NOPIRACY

If you are outside the USA, please look up the correct contact

Information, in our website, at:

www .bsa .org

Busines Software Alliance

Promoting a safe & legal online world.

 

ELIMINACIÓN:

Para la eliminación del virus, hemos creado la versión 1.7 de nuestra utilidad ELIOPA.EXE , que detendrá el proceso vírico en memoria, borrará los ficheros gusano y las claves del registro de sistema afectadas por el virus, además de restaurar la normalidad en el fichero Win.INI, modificado por el virus. Una vez realizados estos pasos, es recomendable instalar en el AUTOEXEC.BAT la carga de la versión 1.5 del ELIRUNX.EXE y si ya estaba instalado, actualizar los ficheros ELIOPA.EXE y ELIRUN.EXE por los de la nueva versión.

Es importante que antes de ejecutar cualquier utilidad eliminadora de virus, se desactive el VSHIELD residente, lo cual se logra fácilmente pulsando con el Botón derecho sobre el icono del VSHIELD, dentro de la barra de tareas, e indicar SALIR.

Para Windows Millenium, al igual que los anteriores Opaserv, puede controlarse la ejecución del gusano en Win.INI a través de la creación de una clave en el registro de sistema, ejecutando el OpaserMe.exe y leyendo lo indicado en el fichero que aparecerá, OpaservMe.rtf

 

Para descargar las utilidades correspondientes:

 

Pulsar aquí para bajar el ELIOPA.EXE (versión 1.7 ó superior)

Pulsar aquí para bajar el ELIRUNX.EXE (versión 1.5 ó superior)

Pulsar aquí para bajar el OPASERME.EXE (versión 1.5 o superior)

 

SATINFO, VIRUSCAN SPAIN SERVICE 3 de Enero de 2003

Anterior