w32/opasoft.w, win32/opaserv.ao, w32.opaserv.worm
tipo: gusano.
tama?o: 17,408 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 24/12/2003.
descripción:
w32/opaserv .w, es una nueva variante de w32/opaserv , al igual que las variantes anteriores logra infectar computadoras a través de unidades compartidas, solo afecta a computadoras que tengan instalados windows 9x.
cuando el gusano se ejecuta, copia varios archivos dentro de:
c:\lammer!
windows \natlog
windows \natlog2
windows \natsout.gay
windows \natsin.gay
windows \natal.scr
adem?s modifica la siguiente entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
natal= windows \natal.scr
se difunde a trav?s de la red, el gusano busca direcciones ip a trav?s del puerto 137(protocolo netbios), si llega a encontrar alg?n computador con recursos compartidos este se transmite por el puerto 139 copi?ndose en la carpeta de windows y la unidad ra?z con el nombre de natal.scr .
tambi?n modifica el archivo win.ini agreg?ndole una entrada para poder ejecutarse en cada reinicio del sistema:
[windows]
run = windows \natal.scr
finalmente intentar? realizar ataques de denegaci?n de servicio(dos) al siguiente sitio web:
www.4ws.com.br
computadoras propensas a ser infectadas:
- con conexión permanente a internet
- con recursos compartidos en windows 95/98/me
- sin el parche de seguridad de microsoft para los recursos compartidos (el parche evita que el virus o un usuario pueda ingresar al recurso sin saber la contraseña)
soluciones :
1- instalar el parche de seguridad de microsoft para los recursos compartidos
http://www.microsoft.com/technet/security/bulletin/ms00-072.asp
2- colocar contraseña a los recursos compartidos.
si los recursos no tienen contraseña cualquier persona en internet puede ingresar al recurso y copiar, borrar, mover archivos.
|
