1. /
  2. Security Response/
  3. W32.Opaserv.Worm
  4. W32.Opaserv.Worm
  • Ajouter

W32.Opaserv.Worm

Niveau de risque2 : Faible

Découvert :
30 Septembre 2002
Mis à jour :
13 Février 2007 11:41:41 AM
Egalement appelé :
W32/Opaserv.worm [McAfee], W32/Opaserv-A [Sophos], Win32.Opaserv [CA], WORM_OPASOFT.A [Trend], Worm.Win32.Opasoft [AVP]
Type :
Worm
Etendue de l'infection :
28 672 octets
Systèmes affectés :
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Références CVE :
CVE-2000-0979

REMARQUE : En raison d’une augmentation du nombre de virus envoyés, Symantec Security Response a réévalué le niveau de cette menace de la Catégorie 2 à la Catégorie 3 dès le 30 septembre 2002.

W32.Opaserv.Worm est un ver qui se propage par le réseau et essaie de se répliquer au travers de partages de réseaux ouverts. Il se copie sur un ordinateur distant sous le nom de fichier Scrsvr.exe. Ce ver essaie également de télécharger des mises à jour à partir du site www.opasoft.com, bien que ce site ait déjà été fermé. Parmi les indicateurs d’infection :
  • L’existence des fichiers Scrsin.dat et Scrsout.dat à la racine du lecteur C indique qu’il s’agit d’une infection locale (cela signifie que le ver a été exécuté sur l'ordinateur local).
  • L’existence du fichier Tmp.ini à la racine du lecteur C indique qu’il s’agit d’une infection à distance (cela signifie que l’ordinateur a été infecté par un hôte distant).
  • La clé de la base de registre HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run contient la valeur de chaîne ScrSvr ou ScrSvrOld, définie dans c:\tmp.ini.

REMARQUE : Si vous êtes en réseau ou disposez d'une connexion permanente à Internet de type DSL ou Modem câble, vous devez déconnecter l'ordinateur du réseau et d'Internet avant de tenter d'éliminer le ver. Si vous avez des fichiers ou dossiers partagés, vous devez les désactiver. Une fois la suppression terminée et si vous décidez de rétablir le partage des fichiers, Symantec vous recommande de ne pas partager le lecteur racine C, mais de partager des dossiers spécifiques. Il est impératif de protéger ces partages par un mot de passe sûr. N’utilisez pas de mot de passe vide.

Par ailleurs, si vous êtes sous Windows 95/98/Me, vous devez auparavant télécharger et installer le correctifMicrosoft disponible à l'adresse suivante.

http://www.microsoft.com/technet/security/bulletin/MS00-072.asp




Si vous êtes en réseau, disposez d'une connexion permanente à Internet telle que DSL ou Modem câble, ou laissez souvent une connexion à distance ouverte pendant de longues périodes, nous vous recommandons vivement d'installer un pare-feu pour une meilleure protection. Pour plus d'information sur les produits pare-feu de Symantec, rendez-vous sur :

http://www.symantec.com/product/

Si vous utilisez un produit grand public Norton AntiVirus, consultez également le document en anglais How to prevent reinfections of W32.Opaserv.Worm.

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release30 Septembre 2002
  • Dernière version des définitions Rapid Release24 Juin 2014 révision 006
  • Version initiale des définitions Daily Certified30 Septembre 2002
  • Dernière version des définitions Daily Certified28 Juillet 2013 révision 020
  • Date de la version initiale des définitions Weekly Certified30 Septembre 2002
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence :Low
  • Nombre d'infections :More than 1000
  • Nombre de sites :More than 10
  • Répartition géographique :High
  • Contrôle de la menace :Moderate
  • Suppression :Moderate

Dommages

  • Niveau de dommages :Low

Distribution

  • Niveau de distribution :Medium
  • Lecteurs partagés :Tente de se propager sur les partages non protégés par mot de passe
Rédigé par :Douglas Knowles