W32.Opaserv.Worm
Tengo este virus, que entro recientemente pues formatee en septiembre, detectado una vez instalado en mi PC por el NORTON que compre e instalé en mayo, por lo que considero un fallo del antivirus.
Me dirijo a la página de Symantec.com para buscar una solución, me indican que vaya a otra página y mi sorpresa es que las instrucciones para desmantelar el virus solo vienen en ingles, idioma que no conozco por lo que no puedo desmantelarlo ¿puedes ayudarme?
Me dirijo a la página de Symantec.com para buscar una solución, me indican que vaya a otra página y mi sorpresa es que las instrucciones para desmantelar el virus solo vienen en ingles, idioma que no conozco por lo que no puedo desmantelarlo ¿puedes ayudarme?
1 respuesta
Respuesta de kuerti
1
Te cuento que buscando en google te encontrás con 21 respuesta en castellano.
Este gusano, que recibe como alias el nombre de OPASOFT, difiere según el fabricante respecto de su peligrosidad; algunos (alerta-antivirus, por ejemplo) lo definen como MÍNIMO, pero algunos (trend, del cual te adjunto el reporte sobre este virus) lo reportan como MEDIANO.
Va el reporte de Trend (podrás ver en http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=1796 que el alias del virus es el que te dije)
"-----Mensaje original-----
De: trend argentina
Asunto: ALERTA DE VIRUS: WORM_OPASOFT.A
********************************************************
ALERTA DE VIRUS
********************************************************
Estimado cliente,
Le comunicamos que debido a la aparición del nuevo virus WORM_OPASOFT.A, se encuentra disponible la nueva lista de virus numero 357, la cual puede ser encontrada en la siguientes direcciones de internet: http://activeupdate-t.trendmicro.com/activeupdate/pattern/VSAPI.zip
http://www.antivirus.com/download/pattern.asp
En pocas horas mas tambien estara disponible en: http://www.antivirus.com.ar/soporte/listavir.html
Detalles del virus WORM_OPASOFT.A
Riesgo: Medio
Destructivo: No
Distribuido entre los usuarios: Si
Acción maliciosa 1: Roba información del sistema
Condicion de accion 1: Bajo ejecucion
Accion maliciosa 2: Descarga y ejecuta programas
Condicion de accion 2: Comandos remotos
Accion maliciosa 3: Se propaga via carpetas compartidas de red
Condicion de accion 3: Bajo ejecucion
Descubierto hace: 30 de septiembre
Detección disponible: 30 de septiembre
Detectado por lista de virus: 356
Detectado por motor de exploración: 5.200
Lenguaje: Ingles
Plataforma: Windows 9x
Encriptado: No
Tamaño: 28,672 Bytes
Este gusano se propaga vía carpetas compartidas de red y tiene las capacidades de un backdoor. El mismo puede ser ejecutado remotamente descargando aplicaciones desde el sitio http://www.op<blocked>soft.com.. Luego puede ejecutar los programas descargados, los cuales pueden ser maliciosos.
Al momento del análisis, el sitio de descarga no estaba accesible debido a que fue bloqueado o no se encuentra cargado actualmente.
Este gusano también escanea en busca de todos los nombres de las maquinas y dominios conectados en la red, y luego envía esta información al sitio de descarga.
Luego de su ejecución, descarga una copia de si mismo en el directorio de sistema de la maquina local y de todas las maquinas con directorios compartidos usando el nombre SCRSVR.EXE. Luego elimina la copia que fue originalmente ejecutada, previendo que no este localizada en el directorio Windows.
En la maquina local crea la siguiente entrada en el registro de Windows para que se ejecute automáticamente cada vez que se inicia Windows.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
ScrSvr = "%Windows%\SCRSVR.EXE"
*Donde %Windows% es el directorio de Windows , que usualmente es C:\Windows o C:\WINNT.
Al mismo tiempo, en las maquinas remotas, este gusano crea una entrada en el archivo de configuración WIN.INI, que se encuentra en el directorio de Windows
Agrega la siguiente entrada, que permite la ejecución al inicio, en la sección [windows] del archivo WIN.INI:
run = C:\%Windows%\SCRSVR.EXE"
Solución:
Nota: Antes de proceder a remover este código malicioso, Trend Micro recomienda que las maquinas infectadas sean temporalmente desconectadas de la red.
Removiendo entradas en Registry
Abrir el Editor de Registros. Inicio>ejecutar, tipee REGEDIT, y luego presionar Enter.
En el panel izquierdo, doble click en los siguiente directorios:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
En el panel derecho, localizar y borrar las o las siguientes entradas:
ScrSvr = %Windows%\ScrSvr.exe
*Donde %Windows% es el directorio de Windows, que usualmente es C:\Windows o C:\WINNT.
Cerrar el Editor de Registro.
Removiendo entradas de autoejecucion de los archivos del sistema :
1 Abrir el editor de configuración del sistema para hacer lo siguiente: haga click en Inicio, luego ejecutar, escriba sysedit, y finalmente presione enter.
2 En el editor de configuración del sistema, seleccione la ventana win.ini
3 Dentro de la sección windows, localice la linea que empieza con run=
4 Desde la misma linea borrar el código malicioso y el nombre del archivo:
"%Windows%\SCRSVR.EXE"
*Donde %Windows% es el directorio de Windows, que usualmente es C:\Windows o C:\WINNT.
5 Cerrar el editor de configuración del sistema, salvando los cambios realizados.
Terminando con el código Malicioso
Abrir el Administrador de tareas de Windows.
Sobre sistemas Windows 9x/ME
Simplemente restartear su maquina y continuar con el procedimiento corriendo el antivirus de Trend Micro
Sobre sistemas Windows NT/2000/XP presionar CTRL+SHIFT+ESC.
En la lista de programas corriendo, localizar el proceso: SCRSVR.EXE
Seleccionar el proceso del código malicioso, y hacer un click en "Terminar Proceso".
Verificar que el proceso haya terminado, cerrando el administrador de tareas y abriéndolo nuevamente.
Cerrar el Administrador de Tareas
Corriendo el antivirus de Trend Micro
Escanee su sistema con un antivirus de Trend Micro y borre todos los archivos detectados con el nombre BKDR_OPASOFT.A.
Recordamos que todos nuestros productos poseen mecanismos para actualizarse al menos semanalmente en forma automática desde Internet. Por este motivo y por requerimientos de la mayoría de los usuarios hemos decidido no continuar enviando el archivo adjunto con la lista de virus en nuestras notificaciones. Aquellos usuarios que por alguna razón desean seguir recibiendo dicha lista como archivo adjunto, pueden enviar un mail a [email protected].
Si por algún motivo necesita actualizar los productos (lista de virus y motor de búsqueda) en forma manual, envíenos un mensaje de correo especificando el producto y la version. De esta forma podremos enviarle un instructivo adecuado para ejecutar esta tarea.
Atentamente.
=================================
Trend Argentina
Dpto. De Soporte Técnico - Laboratorio de Virus
E-mail: [email protected]
Web: http://www.antivirus.com.ar
Tel: 4371-8329 / 8351 / 8437 / 8445"
Los T.E. son de Trend Argentina. Te cuento que Norton no parece o parecía detectarlo a la fecha de creación de la página http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=1796. Por eso, supongo, no lo detectó y te pareció un error.
Por si no tenés antivirus para deshacerte de él, te recomiendo la página de alerta-antivirus, servicio ofrecido por red. Es que te dice los antivirus que te lo sacan con un link a la página de ellos.
Saludos, espero haberte ayudado y no te olvides de puntuar la respuesta.
Este gusano, que recibe como alias el nombre de OPASOFT, difiere según el fabricante respecto de su peligrosidad; algunos (alerta-antivirus, por ejemplo) lo definen como MÍNIMO, pero algunos (trend, del cual te adjunto el reporte sobre este virus) lo reportan como MEDIANO.
Va el reporte de Trend (podrás ver en http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=1796 que el alias del virus es el que te dije)
"-----Mensaje original-----
De: trend argentina
Asunto: ALERTA DE VIRUS: WORM_OPASOFT.A
********************************************************
ALERTA DE VIRUS
********************************************************
Estimado cliente,
Le comunicamos que debido a la aparición del nuevo virus WORM_OPASOFT.A, se encuentra disponible la nueva lista de virus numero 357, la cual puede ser encontrada en la siguientes direcciones de internet: http://activeupdate-t.trendmicro.com/activeupdate/pattern/VSAPI.zip
http://www.antivirus.com/download/pattern.asp
En pocas horas mas tambien estara disponible en: http://www.antivirus.com.ar/soporte/listavir.html
Detalles del virus WORM_OPASOFT.A
Riesgo: Medio
Destructivo: No
Distribuido entre los usuarios: Si
Acción maliciosa 1: Roba información del sistema
Condicion de accion 1: Bajo ejecucion
Accion maliciosa 2: Descarga y ejecuta programas
Condicion de accion 2: Comandos remotos
Accion maliciosa 3: Se propaga via carpetas compartidas de red
Condicion de accion 3: Bajo ejecucion
Descubierto hace: 30 de septiembre
Detección disponible: 30 de septiembre
Detectado por lista de virus: 356
Detectado por motor de exploración: 5.200
Lenguaje: Ingles
Plataforma: Windows 9x
Encriptado: No
Tamaño: 28,672 Bytes
Este gusano se propaga vía carpetas compartidas de red y tiene las capacidades de un backdoor. El mismo puede ser ejecutado remotamente descargando aplicaciones desde el sitio http://www.op<blocked>soft.com.. Luego puede ejecutar los programas descargados, los cuales pueden ser maliciosos.
Al momento del análisis, el sitio de descarga no estaba accesible debido a que fue bloqueado o no se encuentra cargado actualmente.
Este gusano también escanea en busca de todos los nombres de las maquinas y dominios conectados en la red, y luego envía esta información al sitio de descarga.
Luego de su ejecución, descarga una copia de si mismo en el directorio de sistema de la maquina local y de todas las maquinas con directorios compartidos usando el nombre SCRSVR.EXE. Luego elimina la copia que fue originalmente ejecutada, previendo que no este localizada en el directorio Windows.
En la maquina local crea la siguiente entrada en el registro de Windows para que se ejecute automáticamente cada vez que se inicia Windows.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
ScrSvr = "%Windows%\SCRSVR.EXE"
*Donde %Windows% es el directorio de Windows , que usualmente es C:\Windows o C:\WINNT.
Al mismo tiempo, en las maquinas remotas, este gusano crea una entrada en el archivo de configuración WIN.INI, que se encuentra en el directorio de Windows
Agrega la siguiente entrada, que permite la ejecución al inicio, en la sección [windows] del archivo WIN.INI:
run = C:\%Windows%\SCRSVR.EXE"
Solución:
Nota: Antes de proceder a remover este código malicioso, Trend Micro recomienda que las maquinas infectadas sean temporalmente desconectadas de la red.
Removiendo entradas en Registry
Abrir el Editor de Registros. Inicio>ejecutar, tipee REGEDIT, y luego presionar Enter.
En el panel izquierdo, doble click en los siguiente directorios:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
En el panel derecho, localizar y borrar las o las siguientes entradas:
ScrSvr = %Windows%\ScrSvr.exe
*Donde %Windows% es el directorio de Windows, que usualmente es C:\Windows o C:\WINNT.
Cerrar el Editor de Registro.
Removiendo entradas de autoejecucion de los archivos del sistema :
1 Abrir el editor de configuración del sistema para hacer lo siguiente: haga click en Inicio, luego ejecutar, escriba sysedit, y finalmente presione enter.
2 En el editor de configuración del sistema, seleccione la ventana win.ini
3 Dentro de la sección windows, localice la linea que empieza con run=
4 Desde la misma linea borrar el código malicioso y el nombre del archivo:
"%Windows%\SCRSVR.EXE"
*Donde %Windows% es el directorio de Windows, que usualmente es C:\Windows o C:\WINNT.
5 Cerrar el editor de configuración del sistema, salvando los cambios realizados.
Terminando con el código Malicioso
Abrir el Administrador de tareas de Windows.
Sobre sistemas Windows 9x/ME
Simplemente restartear su maquina y continuar con el procedimiento corriendo el antivirus de Trend Micro
Sobre sistemas Windows NT/2000/XP presionar CTRL+SHIFT+ESC.
En la lista de programas corriendo, localizar el proceso: SCRSVR.EXE
Seleccionar el proceso del código malicioso, y hacer un click en "Terminar Proceso".
Verificar que el proceso haya terminado, cerrando el administrador de tareas y abriéndolo nuevamente.
Cerrar el Administrador de Tareas
Corriendo el antivirus de Trend Micro
Escanee su sistema con un antivirus de Trend Micro y borre todos los archivos detectados con el nombre BKDR_OPASOFT.A.
Recordamos que todos nuestros productos poseen mecanismos para actualizarse al menos semanalmente en forma automática desde Internet. Por este motivo y por requerimientos de la mayoría de los usuarios hemos decidido no continuar enviando el archivo adjunto con la lista de virus en nuestras notificaciones. Aquellos usuarios que por alguna razón desean seguir recibiendo dicha lista como archivo adjunto, pueden enviar un mail a [email protected].
Si por algún motivo necesita actualizar los productos (lista de virus y motor de búsqueda) en forma manual, envíenos un mensaje de correo especificando el producto y la version. De esta forma podremos enviarle un instructivo adecuado para ejecutar esta tarea.
Atentamente.
=================================
Trend Argentina
Dpto. De Soporte Técnico - Laboratorio de Virus
E-mail: [email protected]
Web: http://www.antivirus.com.ar
Tel: 4371-8329 / 8351 / 8437 / 8445"
Los T.E. son de Trend Argentina. Te cuento que Norton no parece o parecía detectarlo a la fecha de creación de la página http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=1796. Por eso, supongo, no lo detectó y te pareció un error.
Por si no tenés antivirus para deshacerte de él, te recomiendo la página de alerta-antivirus, servicio ofrecido por red. Es que te dice los antivirus que te lo sacan con un link a la página de ellos.
Saludos, espero haberte ayudado y no te olvides de puntuar la respuesta.
