W32.Opaserv.Worm,发现于2002 年 9 月 30 日,2007 年 2 月 13 日 11:41:27 更新。
别名: W32/Opaserv.worm [McAfee], W32/Opaserv-A [Sophos], Win32.Opaserv [CA], WORM_OPASOFT.A [Trend], Worm.Win32.Opasoft [AVP]
类型: Worm
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 参考: CVE-2000-0979
注意:由于提交率的提高,
赛门铁克安全响应中心自 2002 年 9月 30 日起将此威胁级别从 2 类升级为 3 类。
W32.Opaserv.Worm 是一种具有网络意识的蠕虫。它会通过开放的网络共享传播。它将自己以 Scrsvr.exe 文件的方式复制到远端电脑,然后尝试从可能已经关闭的 www.opasoft.com 网站下载更新。感染的征兆如下∶
* 在 C 盘根目录出现文件 Scrsin.dat 和 Scrsout.dat。这意味着蠕虫已在本机上执行。
* 在 C 盘根目录出现文件 Tmp.ini。这意味本机被远端的计算机感染。
如果您的计算机在一个网络中,通过 DSL、Cable 或 拨号网络与 Internet 长时间连接,我们强烈建议您使用
防火墙软件。有关
赛门铁克的
防火墙软件产品,请到下列网址选购:
www.symantec.com/region/cn/product/
防护
* 病毒定义(每周 LiveUpdate™) 2002 年 9 月 30 日
* 病毒定义(智能更新程序) 2002 年 9 月 30 日
威胁评估
广度
* 广度级别: Low
* 感染数量: More than 1000
* 站点数量: More than 10
* 地理位置分布: High
* 威胁抑制: Moderate
* 清除: Moderate
损坏
* 损坏级别: Low
分发
* 分发级别: Medium
* 共享驱动器: Attempts to spread to non-password protected shares
当W32.Opaserv.Worm 执行时,它进行如下操作:
它在注册表键
检查值
ScrSvrOld
如果该值存在,蠕虫会删除 ScrSvrOld 指向的文件。
如果 ScrSvrOld 不存在,则蠕虫会结束执行,不论 ScrSvr 是否存在
如果该值不存在,蠕虫在注册表键中加入
ScrSvrOld <最初病虫名称>
当蠕虫检查完注册表键以及病虫执行的位置时,它会建立一个名 ScrSvr31415 为 Mutex 以确定是否正在执行。
注意:
蠕虫代码显示它会在 Win.int 中加入:run= c: mp.ini
该病虫似乎可以藉由自身
存储的 URL 到一个网站获取更新。它还会试着下载 一个名为 Scrupd.exe 的更新文件。
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过
防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置
电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些
浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
重要信息:
* 该蠕虫利用了Microsoft Windows 95/98/Me 的一个安全漏洞。它发送单个字符的密码来进入 Windows 95/98/Me 的共享资料夹,而不需要知道为资料夹设置的完整密码。为避免再次感染,请到下列链接下载并安装补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
* 移除蠕虫前请先断开计算机与 Internet 的连接。在重新连入网络前,请先关闭或使用密码保护
共享文件夹,或设置
共享文件夹为“只读”。更多信息请参照 How to configure shared Windows folders for maximum network protection。
* 从网络中清除蠕虫前,确认每个共享资料夹已关闭或设为“只读”。
使用W32.Opaserv.Worm 杀毒工具清除
这是最简便的清毒方法。
赛门铁克安全响应已经开发出W32.Opaserv.Worm 杀毒工具。单击这里获取该工具。
手动清除
作为使用杀毒工具的替代手段,您也可以手动清除病毒:
1. 断开与网络的连接。
2. 更新病毒定义。
3. 运行完整的系统扫描,并删除所有被检测为 W32.Opaserv.Worm的文件。
4. 从注册表键
5. 删除下列值
run= c: mp.ini
7. 有关如何完成此操作的详细信息,请参阅下列指导。
8.
断开与网络的连接
如果你的计算机在网络中,或者通过 DSL 或 Cable 与 Internet 全天相连,您需要断开与它们的连接。在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护
文件共享。因为此
蠕虫是通过共享文件夹在
网络计算机上传播的,为确保蠕虫被删除后不再感染计算机,
赛门铁克建议用只读访问或使用密码保护文件共享。有关如何进行该操作的指导,请参阅 Windows 文档或文档 如何配置共享 Windows 文件夹尽可能的保护网络。
要点:请不要跳过此步骤。试图删除此蠕虫之前,必须断开网络连接。
更新病毒定义:
所有的病毒定义在公布到服务器之前都经过
赛门铁克安全响应中心的严格检测。您可以通过下列两种方式来获取最新病毒定义:
* 运行 LiveUpdate,这是获得病毒定义最简便的方法。这些病毒定义通常每星期一次(星期三)更新到 LiveUpdate 服务器上,当有重要疫情发生时则例外。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义,请见本说明顶部的病毒定义 (LiveUpdate) 行。
* 使用“智能更新程序”下载病毒定义。会在工作日(周一至周五,美国时间)发布。必须从 Symantec 安全响应中心 Web 站点下载病毒定义,并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义,请见本说明顶部的病毒定义(智能更新程序)行。
病毒定义更新安装程序病毒定义可从这里获得。若要了解如何从
赛门铁克安全响应中心下载和安装 Intelligent UpdaterTM 病毒定义,请单击这里。
扫描和删除受感染文件:
1. 启动 Symantec
防病毒程序,并确保已将其配置为扫描所有文件。
* Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。
*
赛门铁克企业版
防病毒产品:请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件”。
2. 运行完整的系统扫描。
3. 如果有任何文件被检测为感染了 W32.Opaserv.Worm,请单击“删除”。
从注册表删除蠕虫加入的值:
警告:
赛门铁克强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改,可能导致永久性数据丢失或文件损坏。请仅修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。
1. 单击“开始”,然后单击“运行”。出现“运行”对话框。
2. 键入 regedit,然后单击“确定”。将打开“
注册表编辑器”。
3. 浏览到以下键:
4. 在右窗格中,删除下列内容:
ScrSvrOld <最初蠕虫名称>
删除蠕虫加入到 Win.ini 的值:
只有安装 Windows 95/98/Me 的电脑才需要进行该操作。
1. 单击“开始”,然后单击“运行”。
2. 键入以下内容,然后单击“确定”:
3. 将打开 MS-DOS Editor。
注意:如果 Windows 安装在其它位置,请用相应的路径代替。
在文件的 [windows] 部分,查找与下列显示相似的项:
run= c: mp.ini
4. 选择整个行。确认你没有选择文件中其它内容后,按 Delete。
5. 单击 File,然后单击 Save。
6. 单击 File,然后单击 Exit。
注意:有些感染案例显示 该蠕虫会在感染其它病虫后一起传染到一台计算机上。鉴于此,建议您在清除 W32.Opaserv.Worm 之后 运行全面系统扫描。如果显示有任何文件有感染迹象,请到 http://securityresponse.symantec.com/avcenter/vinfodb.html 搜索有关信息后依照说明清除病毒。
赛门铁克中国安全响应中心收录所有三级及三级以上病毒、病毒清除工具的中文翻译。
描述者: Douglas Knowles