Centro de Seguridad de Bitdefender

Win32.Worm.Opaserv

( Opasoft, Opas )
Propagacin : high
Dao : low
Size: 28672 bytes
Detectado : 2002 Sep 29

SYMPTOMS:

  • File \"scrsvr.exe\" in the Windows folder;

  • One or both of the registry entries:

    • HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ScrSvr

    • HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ScrSvrOld



    TECHNICAL DESCRIPTION:

    The worms in this family spread by copying themselves to other computers in the network that are running Windows 95/98/Me; they exploit a vulnerability in these operating systems that allows access to password-protected shares when guessing only the first character of the password. More information and a fix for this vulnerability are available at http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-072.asp. The viruses were written in Borland C++ and Assembler.

    The first two sections describe the initial code of Win32.Worm.Opaserv.A; details about the other variants are available in the Worm Versions section below.

    The worm copies itself in the Windows folder as ScrSvr.exe; the registry entry HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ScrSvr is created so that the new copy is run at every start-up; the ScrSvrOld registry entry is used to ensure that at least the old worm version is run at start-up, while upgrading it to a downloaded version. The original copy of the virus is deleted.

    A mutex object called “ScrSvr31415” (3.1415... are the first digits of the number pi) is used to prevent multiple copies from running at a given time. The virus will call the function RegisterServiceProcess so that the process is not listed when Task Manager is invoked. The virus will reduce its main thread’s priority so that it only runs when the computer is idle.

    It will create several execution threads, to replicate and update itself. For replication, it uses the SMB (Server Message Block) file sharing protocol; two threads are created by the virus for this purpose. The first of them will listen to incoming NetBIOS communication and attempt to connect (on port 139) to the remote machine’s C\\ drive by trying every printable character as the password. It will transfer the virus body to the remote computer (to WINDOWS\\scrsvr.exe) and modify win.ini (in the remote’s computer Windows folder) in order to include the filename of the virus in the “run =” line under the [windows] section (a temporary local file c:\\tmp.ini is used in the process). This will cause the virus to be run at the next start-up on the remote computer.

    Another thread is used by the virus to scan for computers to infect in the network. It lists all IP’s of the local host (a.b.c.d) except for 127.0.0.1 and tries to connect to port 137 of computers with nearby IP’s:

    a.b.c.x
    a.b.c+1.x
    a.b.c-1.x (x iterates through all possible values)

    and to computers with IP’s in a random range.

    The worm attempts to update itself from the www.opasoft.com HTTP site and intends to store the downloaded version in the file scrupd.exe; two other temporary files (ScrSin.dat and ScrSout.dat) are used while transfering data from the update server. The site is not functional.

    Opaserv versions:

    The versions of the Win32.Worm.Opaserv family differ mainly in the names of files and mutex, address of the update site, executable packer (UPX, ASPack, PE-compact) and payload.

    Variant A has a minor subversion; the following names are used instead of the originals:
    Virus files: Alevir.exe, puta!!.exe
    Registry entries: Alevir, AlevirOld
    Temporary files: Alevir.dat, Alesout.dat, c:\\put.ini
    Mutex: Alevir31415
    Upgrade site: www.n3t.com.br

    Variants B, C, D and J are very similar to A; C is further encrypted and uses modified names:
    Virus files: marco!.scr, vaisef.exe
    Registry entries: Cuzao!Old, cronos
    Temporary files: Mane!!.dat, FDP!!!!.dat, c:\\gay.ini
    Mutex: marquinhos!
    Upgrade site: www.gwmnet.com.br

    Variants E, F and L are encrypted and contain the text “OpaSoft Crypted By AlevirusSCS!”:
    Virus files: Brasil.pif (E) / Brasil.exe (F, L), puta!!.exe
    Registry entries: Brasil, BrasilOld
    Temporary files: Brasil.dat, Brasil!.dat, c:\\put.ini
    Mutex: Brasil31415
    Upgrade site: www.n3t.com.br

    Variant G also uses an additional encryption layer (besides the UPX packer):
    Virus files: instit.bat, tavinh.scr
    Registry entries: instit, GustavVED
    Temporary files: Gustav.sap, Institu.vat
    Mutex: GustavoDist
    Upgrade site: www.Gustavo.com

    Variant H keeps two additional log files: ScrLog records IP’s of computers that the virus attempts to infect and ScrLog2 records all scanned IP’s.

    Variants K and M will attempt to delete some other versions of the virus (the files scrsvr.exe, alevir.exe – and brasil.exe for M – in the Windows folder and the registry entries “scrsvr”, “alevir” – and “brasil” for M). K is packed with ASPack; the two versions use the following names:
    Virus files: Srv32.exe, sccss
    Registry entries: ..\\RunServices\\Srv32, Srv32Old
    Temporary files: Srv.tsk, Srv.res, c:\\temp.ini
    Mutex: Srv3231415
    Upgrade site: dc0.net (unavailable)

    Variant N is packed with PE-compact; it carries along a trojan which, under certain conditions, is executed and overwrites C:\\boot.ini, and then restarts Windows (which will not be able to boot).
    Virus files: mqbkup.exe, update.exe
    Registry entries: mqbkup, mqbkupdbs
    Temporary files: MSBIND.DLL, mscat32.dll, c:\\win.ini
    Mutex: mqbkup61616

    Removal instructions:

    The BitDefender Virus Analyse Team has releasead a free removal tool for this particular virus.

    Important: You will have to close all applications before running the tool (including the antivirus shields) and to restart the computer afterwards. Additionally you\'ll have to manually delete the infected files located in archives and the infected messages from your mail client.

    The BitDefender AntiOpaserv tool does the following:
  • it detects all the known Win32.Worm.Opaserv versions;

  • it deletes the files infected with Win32.Worm.Opaserv;

  • it kills the process from memory;

  • it repairs the Windows registry.


  • To prevent the virus from replicating itself from infected machines to clean machines, you should try to disinfect all computers in the network before rebooting any of them, or unplug the network cables.

    If you are running Windows 95/98/Me you will have to apply the following patch provided by Microsoft to stop the virus from using the \'Share Level Password\' Vulnerability.

    You may also need to restore the affected files.

    ANALYZED BY:

    Bogdan Dragu
    BitDefender Virus Researcher
    Herramientas gratuitas y herramientas de eliminación gratuitas
    ¡Experimente la potencia de las apps y herramientas de eliminación gratuitas diseñadas por Bitdefender! Consiga protección extra para su PC, smartphone y redes sociales con estas interesantes apps y plugins.
    Centro de Seguridad de Bitdefender
    Manténgase a salvo online. Haga clic aquí si quiere recibir las últimas noticias y alertas sobre amenazas informáticas, virus y estafas.

    Serie de e-guías Bitdefender

    La serie de e-Guías Bitdefender es una iniciativa de aprendizaje destinada a proporcionar al lector de Bitdefender y a la comunidad de usuarios información valiosa sobre las e-amenazas y los problemas de la seguridad en el campo de la tecnología de la información y las comunicaciones, a la vez que ofrecen consejos prácticos y soluciones factibles para la defensa online que necesitan. Los analistas de seguridad de Bitdefender® comparten su conocimiento en la prevención de malware, identificación y eliminación, imprimiendo un énfasis especial en la privacidad online y las distintas tecnologías, contramedidas y diversos métodos de prevención del cibercrimen que existen.

    La serie de e-guías está diseñada para una extensa audiencia de pequeñas empresas y usuarios individuales preocupados por la seguridad e integridad de sus redes y sistemas, y se tratan temas que van desde la protección online de la familia y los niños, hasta las redes sociales seguras y la prevención de las violaciones de seguridad de los datos para asegurar los entornos empresariales. Estas e-guías también se ocupan de cuestiones relacionadas con la actividad diaria de los directores de seguridad de los sistemas IT&C, administradores de red y sistemas, desarrolladores de tecnología de la seguridad, analistas e investigadores.

    Guía para publicar un blog con seguridad

    Consejos y trucos sobre cómo mantener su blog y su identidad a salvo

    Safe Blogging Guide

    Publicar en blogs es una de las formas más populares de expresarse por escrito en la Web, con más de 150 millones de blogs indexados en todo el mundo. Mientras que los lectores normales buscan información y artículos, los ciberdelincuentes muestran un interés bien distinto en ellos. Encontrar información privada y conseguir espacio de almacenamiento barato para sus campañas de malware son sólo dos de las múltiples motivaciones por las que otros pueden interesarse en su blog.

    Este material aborda las directrices básicas para gestionar blogs de forma segura y se centra especialmente en los blogs de particulares que son hospedados por ellos mismos o proporcionados como servicio por los principales proveedores de blogs.



    Guía para asegurar redes inalámbricas (wireless)

    Consejos y trucos para blindar su red doméstica frente a los intrusos

    Securing Wireless Networks Guide

    Este documento está dirigido a los usuarios de equipos que han implementado o planean implementar una red inalámbrica doméstica. Ahora que la comunicación inalámbrica se ha convertido en una parte importante de nuestras vidas, los ciberdelincuentes intentar explotar cualquier brecha de seguridad en la configuración inalámbrica para interceptar el tráfico o usar la conexión a Internet con fines ilegales.

    La siguiente guía le enseñará las mejores prácticas a la hora de usar redes inalámbricas no seguras, además de cómo configurar correctamente su router doméstico o punto de acceso para evitar que otros hagan un mal uso de su red.



    Guía online para proteger a sus hijos

    Cómo asegurar y defender la experiencia digital de sus niños


    Este documento está dirigido a las familias, padres y profesores para ayudar a asegurar las actividades digitales de los niños y adolescentes. En una época en la que la producción en masa y el acceso a los ordenadores han convertido a estos dispositivos en un electrodoméstico más de todos los hogares, los niños se familiarizan con los PCs e Internet desde muy temprana edad. A pesar de sus obvios beneficios relacionados con la comunicación, la Web también puede ser un lugar peligroso para los niños, con e-amenazas orientadas específicamente a su grupo de edad y a los ordenadores del colegio o del hogar.

    Esta e-guía cubre los principales riesgos y peligros online para los niños, como el ciberacoso, el acceso a contenido inadecuado, la adicción online y otras acciones online perjudiciales, a la vez que se centra en asuntos tales como el malware, phishing, robo de identidades y spam, a los cuales los adolescentes, al igual que otros usuarios de Internet, están expuestos a diario. La sección de Consejos de seguridad ayuda a los padres y a los profesores a comprender mejor y tratar con estos problemas en relación con los niños.



    Guía de seguridad online para los navegantes más mayores

    Cómo proteger las ideas y activos de valor contra el hacking


    Este documento está dirigido a las familias y personas mayores con el objetivo de ayudarles a navegar de forma segura por la Web y disfrutar de sus actividades online.

    A primera vista, pudiera parecer que las personas mayores están tan expuestas al cibercrimen como otros usuarios de Internet sin experiencia, independientemente de su edad. Sin embargo, como muestra esta e-guía a lo largo de diversos casos de estudio, hay varios riesgos y peligros que apuntan directamente a los navegantes más mayores, como son el cobro de pensiones, métodos falsos de pago de impuestos o estafas relacionadas con los ingresos. Junto con los casos de estudio se adjuntan consejos, ejemplos y trucos que ofrecen a sus lectores directrices útiles en las que basarse en su rutina diaria.



    Guía de Prevención de Violaciones de los Datos

    Cómo proteger las ideas y activos de valor contra el hacking


    La e-guía ha sido diseñada para cubrir los diversos puntos de perjuicio para la seguridad de los datos de las empresas, desde cuestiones tales como la integridad física de las redes, hasta los complicados mecanismos del cibercrimen orientado a las empresas (por ejemplo, troyanos bancarios, phishing, etc.). Este material está también concebido para relacionar, aunque no con el detalle de una descripción completamente técnica, las funciones de las diversas soluciones Bitdefender orientadas a las empresas y particulares con las situaciones en las que pueden resultar de ayuda para los administradores de TI.

    Consultar este documento resultará muy útil en el proceso de decidir qué es lo mejor para la seguridad en los entornos de red de pequeñas y medianas empresas, y también para crear unos fundamentos sólidos para la investigación comparativa en profundidad sobre este asunto.

    Herramientas gratuitas y herramientas de eliminación gratuitas
    ¡Experimente la potencia de las apps y herramientas de eliminación gratuitas diseñadas por Bitdefender! Consiga protección extra para su PC, smartphone y redes sociales con estas interesantes apps y plugins.
    Centro de Seguridad de Bitdefender
    Manténgase a salvo online. Haga clic aquí si quiere recibir las últimas noticias y alertas sobre amenazas informáticas, virus y estafas.
    Herramientas gratuitas y herramientas de eliminación gratuitas
    ¡Experimente la potencia de las apps y herramientas de eliminación gratuitas diseñadas por Bitdefender! Consiga protección extra para su PC, smartphone y redes sociales con estas interesantes apps y plugins.
    Centro de Seguridad de Bitdefender
    Manténgase a salvo online. Haga clic aquí si quiere recibir las últimas noticias y alertas sobre amenazas informáticas, virus y estafas.

    Informe del panorama de e-amenazas Bitdefender

    El propósito de este informe es proporcionar una investigación exhaustiva del escenario de amenazas. Los expertos de seguridad de Bitdefender® analizan y examinan a fondo las amenazas de cada semestre, centrándose en las vulnerabilidades y exploits, distintos tipos de malware, además de en contramedidas, prevención de ciberdelincuencia y cumplimiento de regulaciones. El escenario de e-amenazas se concentra principalmente en las últimas tendencias, pero también contiene hechos y datos relativos a los periodos analizados anteriormente, además de diversas predicciones sobre los semestres venideros. Este documento está pensado principalmente para los Directores de Seguridad de los Sistemas TIC, Administradores de Sistema y Red, Desarrolladores de Tecnología de Seguridad, Analistas e Investigadores, pero también contempla cuestiones relativas a un público más amplio, como pequeñas organizaciones o usuarios particulares preocupados por la seguridad e integridad de sus redes y sistemas.

    Informe Panorama de E-Amenazas H2 2012 - Resumen

    En la primera mitad del año, las vulnerabilidades de día cero jugaron un papel fundamental en la distribución del malware con packs exploit como vector de infección favorito. El peligroso exploit de día cero en el Java Runtime Environment (CVE-2012-4681) se documentó y se añadió una prueba de concepto a Metasploit, que se puso en conocimiento del público antes de que hubiera disponible un remedio (fix).

    El resultado directo fue que 3.000 millones de dispositivos que ejecutaban Java fueron vulnerables a la utilización de código remoto durante al menos 48 horas. Se produjo un segundo ataque en septiembre dirigido a Internet Explorer 9. La explotación malintencionada adecuada permitiría poner en compromiso el sistema con la instalación de la puerta trasera Poison Ivy. Ambos exploits de día cero se usaron en ataques persistentes avanzados.

    2012 fue testigo de fluctuaciones en la cantidad de correos no deseados en cuanto a su proporción con respecto al tráfico de correo ordinario. El año comenzó con un ligero descenso en el correo spam, pero éste ganó terreno a un ritmo constante hasta mediados de año. Según los datos recopilados en el laboratorio antispam de Bitdefender, el segundo semestre registró nuevamente un crecimiento, con pequeñas variaciones hacia finales de 2012. El incremento de los correos no deseados fue sin embargo menor, solamente en un 5%, llegando a constituir un valor aproximado del 73% de los mensajes enviados en todo el mundo.

    Descargar ahora la completa Informe Panorama de E-Amenazas H2 2012 (pdf)

    Descargar el informe Informe Panorama de e-amenazas H2 2012 - Resumen ejecutivo (pdf)


    Archivo Comprimido

    2012
    Descargar ahora Informe Panorama de E-Amenazas H1 2012 (pdf)

    2011
    Descargar ahora Informe Panorama E-Amenazas H1 2011 - Resumen Ejecutivo (pdf)
    Descargar ahora Informe Panorama de E-Amenazas H2 2011 (pdf)
    Descargar ahora Informe Panorama E-Amenazas H2 2011 - Resumen Ejecutivo (pdf)

    2010
    Descargar ahora Informe Panorama E-Amenazas H2 2010 - Resumen Ejecutivo (pdf)
    Descargar ahora Informe Panorama de E-Amenazas H2 2010 (pdf)
    Descargar ahora Informe Panorama E-Amenazas H1 2010 - Resumen Ejecutivo (pdf)
    Descargar ahora Informe Panorama de E-Amenazas H1 2010 (pdf)

    2009
    Descargar ahora Resumen Ejecutivo de Revisión de Malware y Spam H1 2009 (pdf)
    Descargar ahora Informe Panorama de E-Amenazas H1 2009 (pdf)
    Descargar ahora Revisión de Malware y Spam H2 2009 (pdf)
    Descargar ahora Informe Panorama E-Amenazas H2 2009 - Resumen Ejecutivo (pdf)

    2008
    Descargar ahora Informe Panorama de E-Amenazas H1 2008 (pdf)
    Descargar ahora Informe Panorama de E-Amenazas H2 2008 (pdf)

    Herramientas gratuitas y herramientas de eliminación gratuitas
    ¡Experimente la potencia de las apps y herramientas de eliminación gratuitas diseñadas por Bitdefender! Consiga protección extra para su PC, smartphone y redes sociales con estas interesantes apps y plugins.
    Centro de Seguridad de Bitdefender
    Manténgase a salvo online. Haga clic aquí si quiere recibir las últimas noticias y alertas sobre amenazas informáticas, virus y estafas.
    Herramientas gratuitas y herramientas de eliminación gratuitas
    ¡Experimente la potencia de las apps y herramientas de eliminación gratuitas diseñadas por Bitdefender! Consiga protección extra para su PC, smartphone y redes sociales con estas interesantes apps y plugins.
    Centro de Seguridad de Bitdefender
    Manténgase a salvo online. Haga clic aquí si quiere recibir las últimas noticias y alertas sobre amenazas informáticas, virus y estafas.

    ¿A quién preguntar? Debajo tiene una lista de todos nuestros representantes, que estarán encantados de responder a cualquier pregunta que les quiera formular.




    Catalin Cosoi
    Estratega jefe de seguridad
    Director de comunicación
    +40 212 063 470
    publicrelations[at]bitdefender[dot]com



    Andrei Taflan
    Director General de RRPP
    +40 212 063 470
    publicrelations[at]bitdefender[dot]com


    Herramientas gratuitas y herramientas de eliminación gratuitas
    ¡Experimente la potencia de las apps y herramientas de eliminación gratuitas diseñadas por Bitdefender! Consiga protección extra para su PC, smartphone y redes sociales con estas interesantes apps y plugins.
    Centro de Seguridad de Bitdefender
    Manténgase a salvo online. Haga clic aquí si quiere recibir las últimas noticias y alertas sobre amenazas informáticas, virus y estafas.