w32/opaserv.s, w32/opaserv.s, w32/opasoft.s, win32/opaserv.an
tipo: gusano.
tama?o: 17,408 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 24/12/2003.
descripción:
w32/opaserv .s, es una nueva variante de w32/opaserv , al igual que las variantes anteriores logra infectar computadoras a través de unidades compartidas, solo afecta a computadoras que tengan instalados windows 9x.
cuando el gusano se ejecuta, copia varios archivos en la carpeta de windows:
c:\lammer!
windows \natlog
windows \natlog2
windows \natsout.gay
windows \natsin.gay
windows \natal!.pif
adem?s modifica la siguiente entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
4wd!!!= windows \natal!.pif
se difunde a trav?s de la red, el gusano busca direcciones ip a trav?s del puerto 137(protocolo netbios), si llega a encontrar alg?n computador con recursos compartidos este se transmite por el puerto 139 copi?ndose en la carpeta de windows y la unidad ra?z con el nombre de natal!.pif.
tambi?n modifica el archivo win.ini agreg?ndole una entrada para poder ejecutarse en cada reinicio del sistema:
[windows]
run = windows \natal!.pif
computadoras propensas a ser infectadas:
- con conexión permanente a internet
- con recursos compartidos en windows 95/98/me
- sin el parche de seguridad de microsoft para los recursos compartidos (el parche evita que el virus o un usuario pueda ingresar al recurso sin saber la contraseña)
soluciones :
1- instalar el parche de seguridad de microsoft para los recursos compartidos
http://www.microsoft.com/technet/security/bulletin/ms00-072.asp
2- colocar contraseña a los recursos compartidos.
si los recursos no tienen contraseña cualquier persona en internet puede ingresar al recurso y copiar, borrar, mover archivos.
|
