W32.Opaserv.G.Worm

Versão para impressão

Descoberta: October 29, 2002
Atualizado: February 13, 2007 11:47:13 AM
Também conhecido como: W32.Opaserv.Worm, WORM_OPASERV.G [Trend], W32/Opaserv-F [Sophos], Win32.Opaserv.G [CA], W32/Opaserv.worm [McAfee]
Tipo: Worm
Extensão da infecção: 12,800 bytes
Sistemas afetados: Windows
Referências CVE: CVE-2000-0979


O W32.Opaserv.G.Worm é uma variante do W32.Opaserv.Worm . É um worm voltado para rede que se espalha nos compartilhamentos de rede abertos. Ele se autocopia no computador remoto como o arquivo Marco!.scr. ele é compactado usando o PECompact.

Esse worm tenta fazer o download de atualizações do site www.gwmnet.com.br, embora o site, possivelmente, já tenha sido encerrado. Os indicadores de infecção incluem:

  • A existência de arquivos Mane!!.dat, FDP!!!!.dat, ou Gay.ini na raiz da unidade C. Isso indica uma infecção local (ou seja, o worm foi executado no computador local).
  • A existência do arquivo Gay.ini na raiz da unidade C. Isso pode indicar uma infecção remota (ou seja, o computador foi infectado por um host remoto).
  • A chave de Registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run contém o valor de string cronos ou Cuzao!Old, que é definido para C:\WINDOWS\marco!.scr.


NOTAS:
  • Quando executado em computadores com Windows 95/98/Me, o worm pode se espalhar para outros computadores com o Windows 95/98/Me/2000/NT/XP, através de compartilhamentos de rede abertos, mas o worm não pode ser executado no Windows 2000/NT/XP.
  • As definições com datas anteriores a 30 de outubro de 2002, talvez detectem esse worm como W32.Opaserv.Worm.


NOTA: Se o seu computador estiver em rede ou dispuser de conexão permanente com a Internet, como DSL ou modem de cabo, desconecte o computador da rede e da Internet antes de tentar remover esse worm. Se tiver arquivos ou pastas compartilhadas, estes devem ser desativados. Quando terminar o procedimento de remoção, se decidir reativar o compartilhamento de arquivo, a Symantec sugere que você não compartilhe a raiz da unidade C. Ao invés disso, compartilhe pastas específicas. Esses compartilhamentos devem ser protegidos por uma senha de segurança. Não deixe o espaço da senha em branco.

Também, antes de fazer isso, se estiver usando o Windows 95/98/Me, faça o download e instale a correção da Microsoft no endereço

http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

Datas da proteção antivírus

  • Versão inicial do Rapid Release October 30, 2002
  • Última versão do Rapid Release September 28, 2010 revisão 054
  • Versão inicial diária certificada October 30, 2002
  • Última versão diária certificada September 28, 2010 revisão 036
  • Data da versão inicial semanal certificada October 30, 2002

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Escrito por: Yana Liu

Descoberta: October 29, 2002
Atualizado: February 13, 2007 11:47:13 AM
Também conhecido como: W32.Opaserv.Worm, WORM_OPASERV.G [Trend], W32/Opaserv-F [Sophos], Win32.Opaserv.G [CA], W32/Opaserv.worm [McAfee]
Tipo: Worm
Extensão da infecção: 12,800 bytes
Sistemas afetados: Windows
Referências CVE: CVE-2000-0979


Quando o W32.Opaserv.G.Worm é executado nos computadores com o Windows 95/98/Me, faz o seguinte:

Procura pelo valor

Cuzao!Old

na chave do Registro

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Se o valor existir, o worm exclui o arquivo para o qual o valor Cuzao!Old aponta.

Se o valor Cuzao!Old não existir, o worm determina seu o valor

cronos

existe na chave de Registro

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Se o valor não existir, o worm adiciona o valor

cronos C:\WINDOWS\marco!.scr

a essa chave de Registro.

Em seguida, ele verifica se está sendo executado como o arquivo C:\WINDOWS\marco!.scr. Se não estiver, ele se copia com esse nome de arquivo e adiciona o valor

Cuzao!Old  <original worm name>

à chave de Registro

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Após o worm ter verificado os valores de Registro e o local de onde está sendo executado, ele verifica se somente uma instância dele está sendo executada na memória através da criação de um mutex com o nome marquinhos!.

Se não estiver sendo executado, o worm registra-se como um processo.

Em seguida, faz um inventário da rede procurando por compartilhamentos "C\". Para cada compartilhamento encontrado, ele se autocopia em C\Windows\Marco!.scr.

O worm aproveita-se de uma falha de segurança no Microsoft Windows 95/98/Me e envia senhas de caracteres únicos a compartilhamentos de rede para obter acesso aos compartilhamentos de arquivo do Windows 95/98/Me, sem saber a senha completa atribuída aos compartilhamentos. Os sistemas afetados são,

  • Microsoft Windows 95
  • Microsoft Windows 98
  • Microsoft Windows 98 Segunda Edição
  • Microsoft Windows Me

Uma correção para computadores que estão executando esses sistemas operacionais pode ser encontrada em http://www.microsoft.com/technet/security/bulletin/MS00-072.asp .

Já que os computadores com o Windows 95/98/Me executarão o worm toda vez que você iniciar o Windows, o worm modificará a seção [windows] do arquivo C:\Windows\Win.ini através da adição da linha

run= c:\Windows\Brasil.exe,c:\Windows\Brasil.pif, c:\Windows\marco!.scr


NOTAS:
  • O worm modifica o arquivo C:\Windows\Win.ini antes de se autocopiar como C:\Windows\Marco!.scr. Então, os produtos antivírus da Symantec encontrarão e excluirão C:\Windows\Marco!.scr após o sistema ter sido alterado, mas não antes de ter modificado o arquivo Win.ini. Como resultado, quando você reiniciar o computador, poderá ver uma mensagem indicando que o Marco!.scr não pode ser encontrado. Para corrigir isso, remova a linha que o worm adicionou.
  • O worm é, aparentemente, codificado para adicionar essa linha ao Win.ini:

    run= c:\gay.ini

    No entanto, em infecções ou detecções reais, o worm adiciona a linha

    run= c:\Windows\Brasil.exe,c:\Windows\Brasil.pif,c:\Windows\marco!.scr

Ele também cria o arquivo nomeado C:\Gay.ini, que contém o texto

run= c:\Windows\Brasil.exe,c:\Windows\Brasil.pif,c:\Windows\marco!.scr

O worm também parece poder atualizar-se através da leitura de arquivos de um site da Web, cujo URL esteja inserido no código do worm. Ele também tenta fazer o download de uma atualização chamada Vaisef.exe.

Recomendações

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Escrito por: Yana Liu

Descoberta: October 29, 2002
Atualizado: February 13, 2007 11:47:13 AM
Também conhecido como: W32.Opaserv.Worm, WORM_OPASERV.G [Trend], W32/Opaserv-F [Sophos], Win32.Opaserv.G [CA], W32/Opaserv.worm [McAfee]
Tipo: Worm
Extensão da infecção: 12,800 bytes
Sistemas afetados: Windows
Referências CVE: CVE-2000-0979



IMPORTANTE - LEIA ISTO PRIMEIRO:
  • Este worm aproveita-se de uma falha de segurança no Microsoft Windows 95/98/Me e envia senhas de caracteres únicos a compartilhamentos de rede para obter acesso aos compartilhamentos de arquivo do Windows 95/98/Me, sem saber a senha completa atribuída aos compartilhamentos. Os sistemas afetados incluem o Windows 95, 98, e Me.

    Uma correção para os computadores com esses sistemas operacionais pode ser encontrada em http://www.microsoft.com/technet/security/bulletin/MS00-072.asp. Se já não tiver feito isso, você precisa obter e instalar a correção para evitar infecções futuras.
  • Se o seu computador estiver em rede ou dispuser de conexão permanente com a Internet, como DSL ou modem de cabo, desconecte-o da rede e da Internet. Desative o compartilhamento antes de reconectar os computadores à rede ou Internet. Como esse worm se espalha através de pastas compartilhadas nos computadores em rede, para assegurar-se de que ele não infecte novamente o computador após a sua remoção, remova todos os compartilhamentos, limpe todos os computadores na rede, faça a correção de todos os sistemas e atualize as definições em todos os computadores antes de reconectar-se à rede ou reativar os compartilhamentos. Para obter instruções sobre como fazer isso, consulte a documentação do seu Windows ou o documento Como configurar as pastas compartilhadas do Windows para máxima proteção em rede.
  • Se estiver removendo uma infecção em uma rede, primeiro certifique-se de que qualquer compartilhamento esteja desativado.

Remoção utilizando a Ferramenta de Remoção W32.Opaserv.G.Worm
Esse é o método mais fácil de remover essa ameaça. O Symantec Security Response criou uma Ferramenta de Remoção W32.Opaserv.Worm. Clique aqui para obter a ferramenta. Essa ferramenta de remoção pode remover todas as variantes do W32.Opaserv.Worm.
 
Remoção Manual
Como alternativa para a utilização da ferramenta de remoção você pode remover essa ameaça, manualmente. A seguir, seguem as principais etapas:
  1. Desconecte-se da rede, se estiver conectado.
  2. Atualize as definições de vírus.
  3. Execute uma verificação completa do sistema e exclua todos os arquivos que forem detectados como W32.Opaserv.G.Worm
  4. Exclua os valores

    cronos C:\WINDOWS\marco!.scr
    Cuzao!Old <original worm name>

    da chave de Registro

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  5. (Somente para o Windows 95/98/Me) Exclua a linha

    run=c:\Windows\Brasil.exe,c:\Windows\Brasil.pif,c:\Windows\marco!.scr

    ou

    run=c:\gay.ini

    a partir de C:\Windows\Win.ini.

Para obter detalhes sobre como fazer isso, consulte as instruções a seguir.

Para desconectar-se da rede:
Se o seu computador estiver conectado em rede ou dispuser de conexão permanente com a Internet, como DSL ou modem de cabo, desconecte-o da rede e da Internet. Desative o compartilhamento antes de reconectar os computadores à rede ou Internet. Como esse worm se espalha através de pastas compartilhadas nos computadores em rede, para assegurar-se de que ele não infecte novamente o computador após a sua remoção, remova todos os compartilhamentos, limpe todos os computadores na rede, faça a correção de todos os sistemas e atualize as definições em todos os computadores antes de reconectar-se à rede ou reativar os compartilhamentos. Para obter instruções sobre como fazer isso, consulte a documentação do seu Windows ou o documento Como configurar as pastas compartilhadas do Windows para máxima proteção em rede .


IMPORTANTE:
  • Não pule esta etapa. Desconecte-se da rede antes de tentar remover esse worm.
  • Para obter informações adicionais sobre compartilhamento de arquivos, consulte a documentação do seu Windows ou o documento Como configurar as pastas compartilhadas do Windows para máxima proteção em rede.
  • Quando terminar o procedimento de remoção, se decidir reativar o compartilhamento de arquivo, a Symantec sugere que você não compartilhe a raiz da unidade C. Ao invés disso, compartilhe pastas específicas. Esses compartilhamentos devem ser protegidos por uma senha de segurança. Não deixe o espaço da senha em branco.

    Também, antes de fazer isso, se estiver usando o Windows 95/98/Me, faça o download e instale a correção da Microsoft no endereço

    http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

Para atualizar as definições de vírus

O Symantec Security Response efetua completos testes em todas as definições de vírus para garantir sua qualidade antes das mesmas serem postadas em nossos servidores. Existem duas formas de se obter as mais recentes definições de vírus:
  • Executando o LiveUpdate: esta é a maneira mais fácil de se obter as definições de vírus. Estas definições são postadas nos servidores do LiveUpdate semanalmente (normalmente às Quartas-feiras), a não ser que haja uma significativa explosão de vírus. Para determinar se definições para esta ameaça estão disponíveis através do LiveUpdate, consulte o item "Definições de Vírus (LiveUpdate)", na seção "Proteção", no topo deste alerta.
  • Fazer o donwload das definições de vírus usando o Intelligent Updater. As definições de vírus do Intelligent Updater são postados nos Estados Unidos nos dias úteis (Segunda a Sexta-feira). Você deve fazer o download das definições a partir do website do Symantec Security Response e instalá-las manualmente. Para determinar se as definições para esta ameaça estão disponíveis através do Intelligent Updater, consulte o item Definições de Vírus (Intelligent Updater), na seção "Proteção" no topo deste alerta.

Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site do website do Symantec Security Response clique aqui .

Para executar uma verificação completa no sistema
  1. Inicie seu programa de antivírus da Symantec, e configure-o para verificar todos os arquivos.
  2. Execute uma verificação completa do sistema.
  3. Se houver arquivos detectados como infectados com W32.Opaserv.G.Worm, anote o nome do arquivo e clique em Excluir.

Para remover o valor que o worm adicionou ao Registro:


CUIDADO : A Symantec recomenda que você faça o backup do Registro do sistema antes de efetuar quaisquer alterações. Alterações incorretas podem provocar perda irreversível de dados ou corrupção de arquivos. Modifique somente as chaves especificadas. Leia o documento Como fazer um backup do Registro do Windows para obter instruções.
  1. Clique em Iniciar e em Executar. A caixa de diálogo de execução é exibida.
  2. Digite regedit e clique em OK. O Editor do Registro será aberto.
  3. Navegue até a chave

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  4. No painel direito, exclua esse valor:

    cronos C:\WINDOWS\marco!.scr
    Cuzao!Old <original worm name>
  5. Saia do Editor do Registro.

Para excluir a linha que o worm adicionou ao arquivo Win.ini:
Isso é necessário somente para computadores com o Windows 95/98/Me.


NOTA: (Somente para usuários do Windows Me) Devido ao processo de proteção de arquivos no Windows Me, uma cópia de backup do arquivo que você está prestes a editar existe na pasta C:\Windows\Recent. A Symantec recomenda excluir esse arquivo antes de continuar com as etapas nesta seção. Para fazer isso usando o Windows Explorer, vá para C:\Windows\Recent e, no painel direito, selecione o arquivo Win.ini e exclua-o. Ele será gerado novamente como uma cópia do arquivo que você está prestes a editar, quando salvar as suas alterações nesse arquivo.

  1. Clique em Iniciar e em Executar.
  2. Digite o seguinte e clique em OK.

    edit c:\windows\win.ini

    O Editor do MS-DOS é aberto.

    NOTA: Se o Windows estiver instalado em um diretório diferente, faça a substituição do caminho apropriada.
  3. Na seção [windows] do arquivo, procure por uma entrada similar a uma, ou ambas, relacionadas abaixo:

    run=c:\Windows\Brasil.exe,c:\Windows\Brasil.pif,c:\Windows\marco!.scr
    run=c:\gay.ini
  4. Selecione a linha inteira. Verifique se não selecionou qualquer outro texto no arquivo e pressione Delete.
  5. Clique em Arquivo e em Salvar.
  6. Clique em Arquivo e em Sair.


NOTA: Existem vários registros de infecções por esse worm onde ele mesmo foi infectado por um vírus que também se espalha pelo computador infectado. Por isso, sugerimos que depois de ter removido o W32.Opaserv.G.Worm, você execute uma verificação completa do sistema. Se qualquer arquivo for detectado como infectado por uma ameaça diferente, vá para
http://securityresponse.symantec.com/avcenter/vinfodb.html , digite o nome do que foi detectado no campo Serach (Pesquisar) e clique em Search (Pesquisar). Se encontrar o documento, abra-o e siga qualquer instrução de remoção.



Escrito por: Yana Liu