W32.Opaserv.Worm

Quand W32.Opaserv.Worm s’exécute, voici ce qui se passe :

Il vérifie la valeur

ScrSvrOld

dans la clé de la base de registre

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Si la valeur existe, le ver supprime le fichier vers lequel ScrSvrOld pointe.

Si la valeur ScrSvrOld n’existe pas, le ver détermine alors si la valeur

ScrSvr

existe dans la clé de la base de registre

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Si la valeur n’existe pas, le ver ajoute la valeur

ScrSvr %windir%\ScrSvr.exe

à cette clé de la base de registre.

Puis, il vérifie s’il s’exécute en tant que fichier %windir%\ScrSvr.exe. Si tel n’est pas le cas, il se copie sous ce nom de fichier et ajoute la valeur

ScrSvrOld  <nom original du ver>

à la clé de la base de registre

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

REMARQUE : %windir% est une variable. Le ver localise le dossier d’installation Windows (C:\Windows ou C:\Winnt par défaut) et l’utilise comme dossier de destination.

Une fois vérifiés les valeurs de la base de registre et l’emplacement à partir duquel il s’exécute, le ver vérifie s’il est bien en train de s’exécuter en créant un mutex dont le nom est ScrSvr31415.

S’il ne s’exécute toujours pas, le ver s’enregistre comme un processus sous Windows 95/98/Me. Sous Windows NT/2000/XP il augmente la priorité du processus du ver.

Ensuite, le ver procède à un inventaire du réseau, à la recherche de partages de lecteurs "C\". Pour chaque partage trouvé, il se copie à l’emplacement C\Windows\Scrsvr.exe.

Le ver utilise une faille de sécurité de Microsoft Windows 95/98/Me. Il envoie des mots de passe contenant un caractère aux partages du réseau pour accéder aux partages de fichiers Windows 95/98/Me sans connaître la totalité du mot de passe qui leur est affecté. Les systèmes affectés sont les suivants :

• Microsoft Windows 95
• Microsoft Windows 98
• Microsoft Windows 98 Second Edition
• Microsoft Windows Me

Un correctif pour les ordinateurs fonctionnant sous ces systèmes d'exploitation est disponible à l'adresse suivante : http://www.microsoft.com/technet/security/bulletin/MS00-072.asp.

Pour que les postes Windows 95/98/Me exécutent le ver à chaque fois que vous démarrez Windows, le ver modifie la section [windows] du fichier C:\Windows\Win.ini en ajoutant la ligne suivante :

run= c:\ScrSvr.exe

REMARQUES :

• Le ver modifie le fichier C:\Windows\Win.ini avant de se dupliquer comme %windir%\ScrSvr.exe. Ainsi, les produits anti-virus Symantec trouveront et élimineront %windir%\ScrSvr.exe. une fois le système altéré et non pas avant qu'il modifie le fichier Win.ini. Par conséquent, lorsque vous redémarrez votre ordinateur, il se peut qu'un message apparaisse, indiquant que ScrSvr.exe est manquant. Pour résoudre ce problème, supprimez la ligne ajoutée par le ver.
• Le ver semble programmé pour ajouter cette ligne au Win.ini :
  
  run= c:\tmp.ini
  
  Cependant, dans le cas d'infections ou de détections réelles, le ver ajoute la ligne run= c:\ScrSvr.exe.

Il crée également C:\Tmp.ini qui contient le texte

run= c:\windows\scrsvr.exe

Le ver semble également capable de se mettre à jour en lisant les fichiers à partir d'un site Web dont l’URL est codée en dur dans le ver. Il essaie également de télécharger une mise à jour intitulée Scrupd.exe.

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Résumé