Información Detallada de Virus
--------------------------------------------------------------------------------
WORM_OPASOFT.A
Detalles del virus WORM_OPASOFT.A
Riesgo: Medio
Destructivo: No
Distribuido entre los usuarios: Si
Acción maliciosa 1: Roba información del sistema
Condición de acción 1: Bajo ejecución
Acción maliciosa 2: Descarga y ejecuta programas
Condición de acción 2: Comandos remotos
Acción maliciosa 3: Se propaga vía carpetas compartidas de red Condición de acción 3: Bajo ejecución
Descubierto hace: 30 de septiembre
Detección disponible: 30 de septiembre
Detectado por lista de virus: 356
Detectado por motor de exploración: 5.200
Lenguaje: Ingles
Plataforma: Windows 9x
Encriptado: No
Tamaño: 28,672 Bytes
Este gusano se propaga vía carpetas compartidas de red y tiene las capacidades de un backdoor. El mismo puede ser ejecutado remotamente descargando aplicaciones desde el sitio
http://www.op<blocked>soft.com.. Luego puede ejecutar los programas descargados, los cuales pueden ser maliciosos.
Al momento del análisis, el sitio de descarga no estaba accesible debido a que fue bloqueado o no se encuentra cargado actualmente.
Este gusano también escanea en busca de todos los nombres de las maquinas y dominios conectados en la red, y luego envía esta información al sitio de descarga.
Luego de su ejecución, descarga una copia de si mismo en el directorio de sistema de la máquina local y de todas las máquinas con directorios compartidos usando el nombre SCRSVR.EXE. Luego elimina la copia que fue originalmente ejecutada, previendo que no este localizada en el directorio Windows.
En la máquina local crea la siguiente entrada en el registro de Windows para que se ejecute automáticamente cada vez que se inicia Windows.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunScrSvr = "%Windows%\SCRSVR.EXE"
*Donde %Windows% es el directorio de Windows , que usualmente es C:\Windows o C:\WINNT.
Al mismo tiempo, en las máquinas remotas, este gusano crea una entrada en el archivo de configuración WIN.INI, que se encuentra en el directorio de Windows
Agrega la siguiente entrada, que permite la ejecución al inicio, en la sección [windows] del archivo WIN.INI: run = C:\%Windows%\SCRSVR.EXE"
Solución:
Nota: Antes de proceder a remover este código malicioso, Trend Micro recomienda que las máquinas infectadas sean temporalmente desconectadas de la red.
Removiendo entradas en Registry
Abrir el Editor de Registros. Inicio>ejecutar, tipee REGEDIT, y luego presionar Enter. En el panel izquierdo, doble click en los siguiente directorios:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
En el panel derecho, localizar y borrar las o las siguientes entradas: ScrSvr = %Windows%\ScrSvr.exe
*Donde %Windows% es el directorio de Windows, que usualmente es C:\Windows o C:\WINNT. Cerrar el Editor de Registro.
Removiendo entradas de autoejecución de los archivos del sistema :
1 Abrir el editor de configuración del sistema para hacer lo siguiente: haga click en Inicio, luego ejecutar, escriba sysedit, y finalmente presione enter. 2 En el editor de configuración del sistema, seleccione la ventana win.ini 3 Dentro de la seccion windows, localice la linea que empieza con run= 4 Desde la misma linea borrar el codigo malicioso y el nombre del archivo:
"%Windows%\SCRSVR.EXE"
*Donde %Windows% es el directorio de Windows, que usualmente es C:\Windows o C:\WINNT.
5 Cerrar el editor de configuración del sistema, salvando los cambios realizados.
Terminando con el código Malicioso
-Abrir el Administrador de tareas de Windows.
-Sobre sistemas Windows 9x/ME
-Simplemente restartear su máquina y continuar con el procedimiento corriendo el antivirus de Trend Micro
-Sobre sistemas Windows NT/2000/XP presionar CTRL+SHIFT+ESC. En la lista de programas corriendo, localizar el proceso: SCRSVR.EXE Seleccionar el proceso del código malicioso, y hacer un click en "Terminar Proceso". -Verificar que el proceso haya terminado, cerrando el administrador de tareas y abriéndolo nuevamente. Cerrar el Administrador de Tareas