||||
Symantec.com > Security Response > W32.Opaserv.Worm
IMPRIMEZ CETTE PAGE

W32.Opaserv.Worm - Suppression

Niveau de risque 2 : Faible

Téléchargez l'outil de suppression | Version imprimable

Détecté : 30 Septembre 2002
Mis à jour : 13 Février 2007 11:41:41 AM
Egalement appelé : W32/Opaserv.worm [McAfee], W32/Opaserv-A [Sophos], Win32.Opaserv [CA], WORM_OPASOFT.A [Trend], Worm.Win32.Opasoft [AVP]
Type : Ver
Etendue de l'infection : 28 672 octets
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Références CVE : CVE-2000-0979


IMPORTANT - LISEZ ATTENTIVEMENT :
  • Ce ver utilise une faille de sécurité de Microsoft Windows 95/98/Me. Il envoie des mots de passe contenant un seul caractère aux partages de réseau pour accéder aux partages de fichiers Microsoft Windows 95/98/Me sans connaître la totalité du mot de passe qui leur est affecté. Les systèmes affectés comprennent Windows 95, 98 et Me.

    Un correctif pour les ordinateurs utilisant ces systèmes d'exploitation est disponible à l'adresse suivante :
    http://www.microsoft.com/technet/security/bulletin/MS00-072.asp. Si vous ne l’avez pas déjà fait, vous devez vous procurer ce correctif et l'installer pour prévenir de futures infections.
  • Si vous êtes en réseau ou disposez d'une connexion permanente à Internet telle que DSL ou modem câble, vous devez impérativement déconnecter l'ordinateur du réseau ou d'Internet. Désactivez le partage avant de reconnecter les ordinateurs au réseau ou à Internet. Le ver se propageant en utilisant les dossiers partagés sur les postes en réseau, pour vous assurer qu'il ne réinfecte pas l'ordinateur une fois éliminé, vous devez impérativement désactiver tous les partages, nettoyer tous les postes du réseau, corriger les systèmes et actualiser les définitions sur tous les postes avant de vous reconnecter au réseau ou de réactiver les partages.
  • Pour des instructions sur la manière de procéder, référez-vous à votre documentation Windows ou consultez le document Comment configurer les dossiers Windows partagés pour un réseau parfaitement sécurisé.
  • Si vous éliminez une infection sur un réseau, assurez-vous que tout partage a été préalablement désactivé avant de continuer.

Suppression à l’aide de l’outil de suppression W32.Opaserv.Worm
Il s'agit du moyen le plus simple pour supprimer cette menace. Symantec Security Response a créé un outil de suppression du virus W32.Opaserv.Worm. Cliquez ici pour obtenir l’outil.
 
Suppression manuelle
Une autre solution consiste à supprimer cette menace manuellement. Voici les principales étapes :
  1. Déconnectez-vous du réseau si vous êtes connecté.
  2. Mettez vos définitions de virus à jour.
  3. Lancez une analyse complète du système et supprimez tous les fichiers détectés comme étant infectés par W32.Opaserv.Worm.
  4. Supprimez les valeurs

    ScrSvr %windir%\ScrSvr.exe

    et

    ScrSvrOld <nom original du ver>

    de la clé de la base de registre.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  5. (Windows 95/98/Me uniquement) Supprimez la ligne

    run= c:\ScrSvr.exe

    ou

    run= c:\tmp.ini

    de C:\Windows\Win.ini.
Pour plus de détails sur cette procédure, lisez les instructions suivantes :

Déconnexion du réseau :
Si vous êtes en réseau ou disposez d'une connexion à Internet permanente telle que DSL ou modem câble, vous devez déconnecter l'ordinateur du réseau ou d'Internet. Désactivez le partage avant de reconnecter les ordinateurs au réseau ou à Internet. Le ver se propageant en utilisant les dossiers partagés sur les postes en réseau, pour vous assurer qu'il ne réinfecte pas l'ordinateur une fois éliminé, vous devez impérativement désactiver tous les partages, nettoyer tous les postes du réseau, corriger les systèmes et actualiser les définitions sur tous les postes avant de vous reconnecter au réseau ou de réactiver les partages.

IMPORTANT :
  • N'ignorez pas cette étape. Vous devez impérativement vous déconnecter du réseau avant de tenter d'éliminer le ver.
  • Pour plus d'information sur le partage de fichiers, référez-vous à votre documentation Windows ou consultez le document
    Comment configurer les dossiers Windows partagés pour un réseau parfaitement sécurisé.
  • Une fois le processus d'élimination terminé, si vous décidez de réactiver le partage de fichiers, Symantec vous recommande de ne pas partager la racine du lecteur C. Partagez plutôt des dossiers spécifiques. Ces partages doivent être protégés par des mots de passe sûrs. N'utilisez pas de mot de passe vide.

    De plus, avant de continuer et si vous utilisez Windows 95/98/Me, vous devez télécharger et installer le correctif Microsoft à l'adresse suivante :

    http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

Mise à jour des définitions de virus :
Afin de garantir leur qualité, toutes les définitions de virus sont testées par Symantec Security Response avant leur mise en ligne sur nos serveurs. Il existe deux manières de recevoir les définitions de virus les plus récentes :
  • Lancez LiveUpdate ; c'est la manière la plus simple d'obtenir des définitions de virus. La mise en ligne de ces définitions de virus sur les serveurs LiveUpdate est hebdomadaire (elle s’effectue généralement le mercredi) sauf en cas de propagation virale sévère. Pour déterminer si les définitions contre cette menace sont disponibles sur LiveUpdate, reportez-vous à la ligne Définitions de virus (LiveUpdate) en haut de cet article.
  • Téléchargez les définitions à l’aide d’Intelligent Updater. Les définitions de virus sont publiées sur Intelligent Updater les jours ouvrés aux Etats-Unis (lundi au vendredi). Elles doivent être téléchargées depuis le site de Symantec Security Response et installées manuellement. Pour déterminer si les définitions contre cette menace sont disponibles sur Intelligent Updater, reportez-vous à la ligne Définitions de virus (Intelligent Updater) en haut de cet article.

    Les définitions de virus de l’Intelligent Updater sont disponibles ici. Pour des instructions détaillées sur le téléchargement et l’installation des définitions de virus de l’Intelligent Updater depuis le site de Symantec Security Response, cliquez ici.

Analyse et suppression des fichiers infectés :
  1. Démarrez le programme antivirus de Symantec et assurez-vous qu’il est configuré pour analyser tous les fichiers.
  2. Effectuez une analyse complète de votre système.
  3. Si des fichiers sont détectés comme étant infectés par le virus W32.Opaserv.Worm, cliquez sur Supprimer.

Suppression de la valeur ajoutée par le ver à la base de registre :

AVERTISSEMENT : Il est vivement recommandé d’effectuer une sauvegarde de la base de registre avant d’y effectuer des modifications. Des changements incorrects dans la base de registre peuvent provoquer la perte définitive de données ou la corruption de fichiers. Modifiez uniquement les clés spécifiées. Lisez le document Comment sauvegarder le fichier de registres de Windows pour obtenir les instructions.
  1. Cliquez sur Démarrer, puis sur Exécuter. La boîte de dialogue Exécuter s'affiche.
  2. Saisissez regedit, puis cliquez sur OK. L’Éditeur du Registre s’ouvre.
  3. Recherchez la clé

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  4. Dans le volet de droite, supprimez ces valeurs :

    ScrSvr %windir%\ScrSvr.exe

    ScrSvrOld <nom original du ver>
  5. Quittez l’Éditeur du Registre.

Suppression de la ligne ajoutée par le ver au fichier Win.ini :
Cette opération est nécessaire uniquement pour les ordinateurs fonctionnant sous Windows 95/98/Me.

REMARQUE : (Pour les utilisateurs de Windows Me seulement) En raison du processus de protection de fichier sous Windows Me, une copie de sauvegarde du fichier à éditer existe dans C:\Windows\Recent. Il vous est recommandé de supprimer ce fichier avant de poursuivre les étapes de cette section. Pour effectuer cette opération avec l'Explorateur de Windows, allez dans C:\Windows\Recent, sélectionnez le fichier Win.ini dans le volet de droite puis supprimez-le. Il sera régénéré comme copie du fichier que vous allez modifier au moment de l'enregistrement des changements apportés à ce fichier.
  1. Cliquez sur Démarrer, puis sur Exécuter.
  2. Entrez ce qui suit, puis cliquez sur OK.

    edit c:\windows\win.ini

    L’Éditeur MS-DOS s’ouvre.

    REMARQUE : Si Windows est installé dans un autre emplacement, indiquez le chemin d’accès approprié.
  3. Dans la section [windows] du fichier, recherchez une entrée similaire à :

    run= c:\ScrSvr.exe

    ou

    run= c:\tmp.ini
  4. Sélectionnez toute la ligne. Assurez-vous de ne pas avoir sélectionné d’autre texte dans le fichier, puis cliquez sur Supprimer.
  5. Cliquez sur Fichier, puis sur Enregistrer.
  6. Cliquez sur Fichier, puis sur Quitter.

REMARQUE : Plusieurs cas d'infection par ce ver ont été remontés où le ver lui-même était infecté par un virus, lequel s'était également propagé sur l'ordinateur infecté. C'est pourquoi nous vous recommandons, une fois que vous avez éliminé W32.Opaserv.Worm, de lancer une nouvelle analyse complète du système. Si des fichiers sont détectés comme étant infectés par une menace différente, rendez-vous sur
http://securityresponse.symantec.com/avcenter/vinfodb.html, tapez le nom du virus détecté dans la boîte ‘Search’, puis cliquez sur ‘search’. Ouvrez le document correspondant au virus et suivez les instructions pour sa suppression.

Ecrit par : Douglas Knowles
Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.