1. Symantec/
  2. Security Response/
  3. W32.Opaserv.G.Worm
  4. W32.Opaserv.G.Worm
  • Compartilhar

W32.Opaserv.G.Worm

Nível do risco2: Baixo

Descoberto:
29 de Outubro de 2002
Atualizado:
13 de Fevereiro de 2007 11:47:13 AM
Também conhecido como:
W32.Opaserv.Worm, WORM_OPASERV.G [Trend], W32/Opaserv-F [Sophos], Win32.Opaserv.G [CA], W32/Opaserv.worm [McAfee]
Tipo:
Worm
Extensão da infecção:
12,800 bytes
Sistemas afetados:
Windows
Referências CVE:
CVE-2000-0979

O W32.Opaserv.G.Worm é uma variante do W32.Opaserv.Worm. É um worm voltado para rede que se espalha nos compartilhamentos de rede abertos. Ele se autocopia no computador remoto como o arquivo Marco!.scr. ele é compactado usando o PECompact.

Esse worm tenta fazer o download de atualizações do site www.gwmnet.com.br, embora o site, possivelmente, já tenha sido encerrado. Os indicadores de infecção incluem:
  • A existência de arquivos Mane!!.dat, FDP!!!!.dat, ou Gay.ini na raiz da unidade C. Isso indica uma infecção local (ou seja, o worm foi executado no computador local).
  • A existência do arquivo Gay.ini na raiz da unidade C. Isso pode indicar uma infecção remota (ou seja, o computador foi infectado por um host remoto).
  • A chave de Registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run contém o valor de string cronos ou Cuzao!Old, que é definido para C:\WINDOWS\marco!.scr.


NOTAS:
  • Quando executado em computadores com Windows 95/98/Me, o worm pode se espalhar para outros computadores com o Windows 95/98/Me/2000/NT/XP, através de compartilhamentos de rede abertos, mas o worm não pode ser executado no Windows 2000/NT/XP.
  • As definições com datas anteriores a 30 de outubro de 2002, talvez detectem esse worm como W32.Opaserv.Worm.


NOTA: Se o seu computador estiver em rede ou dispuser de conexão permanente com a Internet, como DSL ou modem de cabo, desconecte o computador da rede e da Internet antes de tentar remover esse worm. Se tiver arquivos ou pastas compartilhadas, estes devem ser desativados. Quando terminar o procedimento de remoção, se decidir reativar o compartilhamento de arquivo, a Symantec sugere que você não compartilhe a raiz da unidade C. Ao invés disso, compartilhe pastas específicas. Esses compartilhamentos devem ser protegidos por uma senha de segurança. Não deixe o espaço da senha em branco.

Também, antes de fazer isso, se estiver usando o Windows 95/98/Me, faça o download e instale a correção da Microsoft no endereço

http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

Datas da proteção antivírus

  • Versão inicial do Rapid Release30 de Outubro de 2002
  • Última versão do Rapid Release28 de Setembro de 2010 revisão054
  • Versão inicial diária certificada30 de Outubro de 2002
  • Última versão diária certificada28 de Setembro de 2010 revisão036
  • Data da versão inicial semanal certificada30 de Outubro de 2002
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.
Escrito por:Yana Liu
Internet Security Threat Report