W32.Opaserv.Worm

O W32.Opaserv.Worm é um worm do grupo network-aware (que detecta a rede) que tenta replicar sobre compartilhamentos abertos de rede. Ele copia a si próprio para o arquivo "scrsvr.exe" na máquina remota. Este worm também tenta fazer downloads de atualizações a partir do endereço www.opasoft.com, mesmo que o site já tenha sido fechado. Entre os indicadores de infecção podemos citar:

• Existência de scrsin.dat e de scrsout.dat no diretório raiz C: indicando infecção local (o worm foi executado na máquina local)
• Existência de tmp.ini no diretório raiz C: indicando infecção remota (infectado por um servidor remoto)
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run contendo um valor string chamado ScrSvr ou ScrSvrOld configurado para "C:\tmp.ini"

---

Nota: Se você está em rede, ou possui uma conexão em tempo integral com a Internet, tal como uma DSL ou Cable modem, é preciso que você disconecte o computador da rede e da internet antes de tentar remover esse worm. Se você tiver arquivos compartilhados, estes devem ser desativados. Ao terminar com o processo de remoção, se você decidir reativar os arquivos ou pastas compartilhados, a Symantec sugere que você não compartilhe a raíz da unidade C. Ao em vez disso, compartilhe pastas específicas. Estes arquivos e pastas compartilhados devem ser protegidos com uma senha segura. Não use uma senha em branco.

Também, antes de fazer isso, se você estiver usando o Windows 95/98/Me, é preciso que você faça o download e instalação do Microsoft patch a partir de
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

---