Delicious
Meneame
Technorati
Digg
Yahoo Buzz
Google
Facebook
Reddit
Newsvine
StumbleUpon
- Descoberto:
- 29 de Outubro de 2002
- Atualizado:
- 13 de Fevereiro de 2007 11:47:13 AM
- Também conhecido como:
- W32.Opaserv.Worm, WORM_OPASERV.G [Trend], W32/Opaserv-F [Sophos], Win32.Opaserv.G [CA], W32/Opaserv.worm [McAfee]
- Tipo:
- Worm
- Extensão da infecção:
- 12,800 bytes
- Sistemas afetados:
- Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
- Referências CVE:
- CVE-2000-0979
O W32.Opaserv.G.Worm é uma variante do W32.Opaserv.Worm. É um worm voltado para rede que se espalha nos compartilhamentos de rede abertos. Ele se autocopia no computador remoto como o arquivo Marco!.scr. ele é compactado usando o PECompact.
Esse worm tenta fazer o download de atualizações do site www.gwmnet.com.br, embora o site, possivelmente, já tenha sido encerrado. Os indicadores de infecção incluem:
- A existência de arquivos Mane!!.dat, FDP!!!!.dat, ou Gay.ini na raiz da unidade C. Isso indica uma infecção local (ou seja, o worm foi executado no computador local).
- A existência do arquivo Gay.ini na raiz da unidade C. Isso pode indicar uma infecção remota (ou seja, o computador foi infectado por um host remoto).
- A chave de Registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run contém o valor de string cronos ou Cuzao!Old, que é definido para C:\WINDOWS\marco!.scr.
NOTAS:
- Quando executado em computadores com Windows 95/98/Me, o worm pode se espalhar para outros computadores com o Windows 95/98/Me/2000/NT/XP, através de compartilhamentos de rede abertos, mas o worm não pode ser executado no Windows 2000/NT/XP.
- As definições com datas anteriores a 30 de outubro de 2002, talvez detectem esse worm como W32.Opaserv.Worm.
NOTA: Se o seu computador estiver em rede ou dispuser de conexão permanente com a Internet, como DSL ou modem de cabo, desconecte o computador da rede e da Internet antes de tentar remover esse worm. Se tiver arquivos ou pastas compartilhadas, estes devem ser desativados. Quando terminar o procedimento de remoção, se decidir reativar o compartilhamento de arquivo, a Symantec sugere que você não compartilhe a raiz da unidade C. Ao invés disso, compartilhe pastas específicas. Esses compartilhamentos devem ser protegidos por uma senha de segurança. Não deixe o espaço da senha em branco.
Também, antes de fazer isso, se estiver usando o Windows 95/98/Me, faça o download e instale a correção da Microsoft no endereço
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
Datas da proteção antivírus
- Versão inicial do Rapid Release30 de Outubro de 2002
- Última versão do Rapid Release28 de Setembro de 2010 revisão054
- Versão inicial diária certificada30 de Outubro de 2002
- Última versão diária certificada28 de Setembro de 2010 revisão036
- Data da versão inicial semanal certificada30 de Outubro de 2002
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.
Avaliação da ameaça
Disseminação
- Nível de disseminação:Medium
- Número de infecções:More than 1000
- Número de sites:More than 10
- Distribuição geográfica:High
- Contenção da ameaça:Easy
- Remoção:Moderate
Dano
- Nível do dano:Low
Distribuição
- Nível de distribuição:Medium
- Unidades compartilhadas:Attempts to spread to network shares that have not been patched.
Escrito por:Yana Liu