||||
Symantec.com > Security Response > W32.Opaserv.Worm Removal Tool
STAMPA QUESTA PAGINA

W32.Opaserv.Worm Removal Tool

Scarica lo strumento di rimozione | Versione per stampante

Rilevato: 30 de Settembre de 2002
Aggiornato: 13 de Febbraio de 2007 11:34:06 AM
Tipo: Informazioni sulla rimozione




IMPORTANTE - LEGGERE ATTENTAMENTE PRIMA DI PROSEGUIRE:
  • W32.Opaserv.Worm sfrutta una vulnerabilità nella sicurezza di Microsoft Windows 95/98/Me. Invia password composte da un solo carattere alle condivisioni di rete, e accede così ai file condivisi di Windows 95/98/Me anche senza conoscerne le password complete. I sistemi operativi vulnerabili sono Windows 95, 98 e Me.

    All’indirizzo http://www.microsoft.com/technet/security/bulletin/MS00-072.asp è disponibile una patch sviluppata appositamente per tali sistemi operativi. Se non lo si è ancora fatto è necessario installare la patch, per evitare nuove infezioni.
  • Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet (DSL o modem via cavo) è necessario scollegare la macchina dalla rete e da Internet. Prima di collegare nuovamente i computer alla rete o a Internet, disattivare la condivisione di file. W32.Opaserv.Worm si propaga tramite cartelle condivise su computer collegati in rete, pertanto, per evitare che l’infezione si diffonda nuovamente dopo essere stata rimossa, è necessario eliminare tutte le condivisioni, rimuovere i virus da tutti i computer collegati in rete, eseguire le patch su tutti i sistemi ed aggiornare le definizioni dei virus su tutti i computer in rete prima di ricollegarsi o di abilitare nuovamente le condivisioni.
    IMPORTANTE: Non saltare questo passaggio. Prima di cominciare la rimozione del worm è necessario scollegarsi dalla rete.
  • Per istruzioni in merito consultare la propria documentazione di Windows oppure il documento Come configurare le cartelle condivise di Windows affinché la rete sia protetta al meglio.
  • Al termine del processo di rimozione, se si desidera riattivare la condivisione di file è consigliabile non condividere la radice dell’unità C, ma selezionare unicamente determinate cartelle. Queste condivisioni devono essere protette con una password sicura. Non lasciare il campo password vuoto.

    Prima di eseguire questa operazione, se il proprio sistema operativo è Windows 95/98/Me, è inoltre necessario scaricare ed installare la patch di Microsoft dal sito:

    http://www.microsoft.com/technet/security/bulletin/MS00-072.asp


Cosa fa lo strumento di rimozione

Lo strumento di rimozione per W32.Opaserv.Worm:
  1. Interrompe tutti i processi virali noti di W32.Opaserv.Worm comprese le varianti fino a W32.Opaserv.K.Worm
  2. Elimina tutti i file eseguibili di W32.Opaserv.Worm
  3. Elimina le voci aggiunte dal worm al Registro di sistema
  4. Ripristina il file Win.ini
  5. Visualizza una finestra di dialogo che segnala di installare una patch prima di proseguire. Per scaricarla, accedere al sito:

http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

Parametri della riga di comando utilizzabili con lo strumento di rimozione


Parametro

Descrizione

/HELP, /H, /?
Visualizza il messaggio di aiuto.

/NOFIXREG
Disattiva le operazioni di riparazione del registro (si sconsiglia l’uso di questo parametro).

/SILENT, /S
Attiva la modalità invisibile. In tal modo non viene più visualizzato l'avviso per l'installazione di patch Microsoft.

/LOG=<nome percorso>
Crea un file di registro in cui <nome percorso> è la posizione su cui viene salvato il risultato dello strumento di rimozione. Per impostazione predefinita, il file di registro FixOpsrv.log viene creato nella stessa cartella da cui è stato eseguito lo strumento.

/MAPPED
Sottopone a scansione unità di rete mappate (si sconsiglia l’uso di questo parametro - vedi note).

/START
Impone allo strumento di rimozione di avviare una scansione immediata.

/EXCLUDE=<percorso>
Esclude dalla scansione il <percorso> specificato (si sconsiglia l’uso di questo parametro).

NOTA: l’uso dell’opzione /MAPPED non garantisce la completa rimozione del virus sul computer remoto, poiché:
  • La scansione delle unità di rete viene effettuata solo sulle cartelle di rete. Ciò significa che non necessariamente tutte le cartelle presenti sul computer remoto vengono sottoposte a scansione, il che può comportare il mancato rilevamento di un’infezione.
  • Se viene individuato un file del virus sull’unità di rete, e se il computer remoto sta utilizzando tale file, la sua rimozione non andrà a buon fine.

Per tutti questi motivi si consiglia di eseguire lo strumento di rimozione su ogni singola macchina.

Come ottenere ed eseguire lo strumento di rimozione

NOTA: è necessario disporre di privilegi amministrativi per poter eseguire lo strumento su Windows NT4/2000/XP.
  1. Scaricare il file FixOpsrv.exe all’indirizzo:

    http://securityresponse.symantec.com/avcenter/FixOpsrv.exe
  2. Salvarlo su una posizione di uso pratico, quale la cartella download o il desktop (oppure, se possibile, su un supporto rimuovibile che si sappia con certezza non essere infetto).
  3. Per informazioni su come verificare l’autenticità della firma digitale consultare la sezione del documento intitolata Firma digitale.
  4. Chiudere tutti programmi prima di eseguire lo strumento.
  5. Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet scollegare la macchina dalla rete e da Internet.
  6. Se si utilizza Windows Me o Windows XP disattivare Ripristino configurazione di sistema. A tale proposito consultare la sezione del documento intitolata Opzione Ripristino configurazione di sistema in Windows Me/XP.

    NOTA: se si utilizza Windows Me/XP consigliamo vivamente di non saltare questo passaggio.
  7. Fare doppio clic sul file FixOpsrv.exe, per avviare lo strumento di rimozione.
  8. Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento.
  9. Riavviare il computer.
  10. Eseguire nuovamente lo strumento di rimozione per assicurarsi che il sistema sia del tutto privo di infezioni.
  11. Se si utilizza Windows Me o Windows XP riattivare Ripristino configurazione di sistema.
  12. Eseguire LiveUpdate per assicurarsi di disporre delle definizioni dei virus più recenti.

    NOTA: è possibile che la procedura di rimozione fallisca se Ripristino configurazione di sistema di Windows Me/XP non viene disattivato come sopra indicato, poiché Windows impedisce la modifica di Ripristino configurazione di sistema da parte di programmi di terzi. In tal caso è possibile che lo strumento di rimozione non funzioni.

Al termine dell'esecuzione viene visualizzato un messaggio che indica se la macchina era stata infettata da W32.Opaserv.Worm. In caso di avvenuta rimozione del worm il programma visualizza i seguenti risultati:
    • Il numero di file sottoposti a scansione
    • Il numero di file eliminati
    • Il numero di processi virali interrotti
    • Il numero di voci di registro eliminate

Firma digitale
FixOpsrv.exe dispone di una firma digitale. Symantec consiglia l’utilizzo di copie di FixOpsrv.exe scaricate esclusivamente dal sito Internet del Symantec Security Response. Per controllare l’autenticità della firma digitale procedere nel modo seguente:
  1. Accedere a http://www.wmsoftware.com/free.htm.
  2. Scaricare il file Chktrust.exe e salvarlo nella stessa cartella su cui è stato salvato FixOpsrv.exe (ad esempio, la cartella C:\Downloads).
  3. In base al proprio sistema operativo svolgere una delle seguenti operazioni:
    • Fare clic su Start, puntare su Programmi, quindi fare clic su Prompt di MS-DOS.
    • Fare clic su Start, puntare su Programmi, fare clic su Accessori, quindi fare clic su Prompt dei comandi.
    • Accedere alla directory su cui sono stati salvati FixOpsrv.exe e Chktrust.exe, quindi digitare:

      chktrust -i FixOpsrv.exe

      Ad esempio, se il file si trova nella cartella C:\Downloads digitare i seguenti comandi (premendo Invio dopo ciascuno):

      cd\
      cd downloads
      chktrust -i FixOpsrv.exe

      Se la firma digitale è valida verrà visualizzato il seguente messaggio:

      Si desidera installare ed eseguire "W32.Opaserv.Worm Removal Tool", firmato 12/27/2002 12:42 PM e distribuito da Symantec Corporation?

      NOTE:
      • Se il computer non è impostato sul fuso orario americano della costa pacifica la data e l’ora indicate nella finestra di dialogo vengono adattate al fuso orario locale.
      • Se si utilizza l’ora legale, l’orario apparirà spostato indietro esattamente di un’ora.
      • Se non compare questa finestra di dialogo i motivi possono essere i seguenti:
        • Lo strumento in questione non viene da Symantec. Se non si è assolutamente certi della legittimità dello strumento e se non lo si è scaricato dal sito Internet legittimo di Symantec non è consigliabile la sua esecuzione.
        • Lo strumento in questione è di Symantec ed è legittimo. Si è in precedenza dato istruzione al proprio sistema operativo di accettare sempre qualsiasi contenuto proveniente da Symantec; per informazioni in merito e per fare apparire nuovamente la finestra di dialogo di conferma consultare il documento (in inglese) How to restore the Publisher Authenticity confirmation dialog box.
  4. Fare clic su Sì per chiudere la finestra di dialogo.
  5. Digitare exit quindi premere Invio. Viene così chiusa la sessione di MS-DOS.

Opzione Ripristino configurazione di sistema in Windows Me/XP
Si consigliano gli utenti di Windows Me e Windows XP di disattivare temporaneamente l’opzione Ripristino configurazione di sistema. Tale funzione, che per impostazione predefinita è sempre attivata, viene utilizzata da Windows Me/XP per ripristinare file sul computer in caso siano stati danneggiati. Quando una macchina contrae un virus, un worm o un cavallo di Troia, è possibile che l’opzione Ripristino configurazione di sistema crei una copia di backup di tali codici nocivi. Windows impedisce, per impostazione predefinita, che Ripristino configurazione di sistema venga modificato da programmi esterni. Esiste quindi la possibilità che il file infetto venga ripristinato per errore, oppure che l’esecuzione di una scansione in linea rilevi la minaccia presente sul computer. Se si necessitano istruzioni su come disabilitare la funzione Ripristino configurazione di sistema, consultare la propria documentazione di Windows o uno dei seguenti documenti:
Per ottenere ulteriori informazioni e un’alternativa alla disattivazione di Ripristino configurazione di sistema, consultare l’articolo del Knowledge Base Microsoft (in inglese) intitolato Anti-Virus Tools Cannot Clean Infected Files in the _Restore Folder, ID: Q263455.

Come eseguire lo strumento di rimozione a partire da un disco floppy
  1. Inserire nell’unità floppy il disco contenente il file FixOpsrv.exe.
  2. Fare clic su Start, quindi su Esegui.
  3. Digitare quanto segue, quindi fare clic su OK:

    a:\fixopsrv.exe

    NOTE:
    • Non digitare spazi nel comando  a:\fixopsrv.exe
    • Se si utilizza Windows Me e non si disattiva Ripristino configurazione di sistema viene visualizzato un avviso. È possibile scegliere se eseguire lo strumento di rimozione mantenendo attivata l’opzione Ripristino configurazione di sistema oppure abbandonare l’operazione in corso.
  4. Fare clic su Start per avviare il processo e consentire l’esecuzione dello strumento.
  5. Se si utilizza Windows Me, riattivare Ripristino configurazione di sistema.

NOTA: in numerosi casi documentati le infezioni causate da questo worm sono portatrici anche di altre infezioni, che trasmettono anche al computer, poiché il worm stesso ha contratto un virus. Per tale ragione, si consiglia di eseguire una scansione dell'intero sistema dopo avere rimosso W32.Opaserv.Worm. Se vengono rilevati file infetti da altri codici nocivi, accedere al http://securityresponse.symantec.com/avcenter/vinfodb.html, immettere il nome della minaccia rilevata nel campo appropriato, e fare clic su search. Se viene trovato un documento, aprirlo e seguire le istruzioni per la rimozione.


Informazioni aggiuntive
  • Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet (come DSL o modem via cavo) o se si lascia spesso una connessione remota aperta per lunghi periodi, è consigliabile installare un firewall per aumentare il livello di protezione. Per informazioni sui prodotti firewall Symantec, accedere al sito:

    http://www.symantec.it/region/it/product/index.html
  • Se si utilizza un prodotto Norton AntiVirus per utenti privati, consultare il documento How to prevent reinfections of W32.Opaserv.Worm.
  • Se l'esecuzione dello strumento di rimozione viene completata con successo, ma la scansione completa del sistema continua a rilevare W32.Opaserv.Worm nella cartella C:Windows\Sysbckup o nel Cestino protetto da Norton senza essere in grado di eliminarlo, seguire le istruzioni proposte:
    • Cartella Sysbckup. Se viene rilevato W32.Opaserv.Worm nella cartella C:\Windows\Sysbckup\<Nome file>.cab (in cui <Nome file> è simile a Rb### o Prb###):
      1. Trascrivere il nome file quando viene segnalato nel corso della scansione.
      2. Riavviare il computer in Modalità provvisoria. Tramite Esplora risorse, individuare la cartella C:\Windows\Sysbckup, selezionare il file rilevato infetto ed eliminarlo.
    • Cestino protetto da Norton. Svuotare il Cestino protetto da Norton.



Risparmia il 20% con un abbonomento di 2 anni!
©1995 - 2009 Symantec Corporation
Indice del sito|
Note legali|
Trattamento dei dati riservati|
Contattaci|
Siti globali|
Contratti di licenza