Opaserv
est un virus qui
se propage via les dossiers partagés, mais qui n'est
pas capable de se propager par email. Le virus se copie dans
le répertoire Windows sous le nom SCRSVR.EXE puis modifie
la base de registres afin d'être exécuté
à chaque démarrage du système. Opaserv
tente ensuite de se propager aux autres ordinateurs du réseau
en se copiant dans les dossiers laissés en partage
ouvert. Il tente enfin d'accéder à une URL distante
(opasoft.com) pour se mettre à jour, mais le site semble
avoir été fermé.
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. Les utilisateurs de Windows
95/98/Me doivent également supprimer
les partages de ressources inutiles, protéger
les autres par mot de passe et appliquer ce
correctif afin de prévenir toute propagation
du virus et plus généralement tout accès
malveillant.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixOpsrv pour rechercher
et éliminer le virus. En cas de contamination
d'un réseau local, les ordinateurs infectés doivent
être déconnectés du réseau, et n'être reconnectés que
lorsque tous les ordinateurs ont été désinfectés.
|
TYPE
:
Ver
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
ALIAS
:
Worm.Win32.Opasoft (Kaspersky)
W95/Scrup.worm (McAfee)
W32/Opaserv-A (Sophos)
W32.Opaserv.Worm (Symantec)
WORM_OPASOFT.A (Trend)
I-Worm/Opas
TAILLE
:
28.672 octets
DECOUVERTE
:
30/09/2002
DESCRIPTION
DETAILLEE :
Opaserv
se propage en utilisant une fonctionnalité méconnue
des utilisateurs de Windows 95/98/Me appelée "partage
de ressources", lorsque ce dernier est laissé
ouvert sans protection. Les virus situés sur des machines
infectées scannent le réseau à la recherche
d'ordinateurs vulnérables en inspectant les ports de
communication 137 et 139 des ordinateurs. Lorsqu'un partage
ouvert est trouvé sur le disque C:, le virus s'y copie
et infecte l'ordinateur.
Avant
de désinfecter un ordinateur contaminé, il est
donc impératif de supprimer
les partages de ressources inutiles ou de les protéger
par un mot de passe fort, sans quoi l'ordinateur sera à
nouveau réinfecté en quelques minutes. Il est
également nécessaire d'appliquer appliquer ce
correctif pour corriger un bug permettant au virus de
passer outre le mot de passe protégeant l'accès
aux partages. Enfin, il ne faut surtout pas mettre en partage
le disque dur entier mais préférer partager
un répertoire déterminé et bien connu,
éventuellement segmenté en sous-répertoires
si nécessaire.
Opaserv.E
est une variante du virus qui se copie sur le disque sous
le nom BRASIL.EXE ou BRASIL.PIF. Compressé via UPX
et crypté via PCPEC, le fichier est de taille inférieure
mais les fonctionnalités du virus sont identiques.
Opaserv.F
et Opaserv.G sont deux autres variantes du virus caractérisées
essentiellement par le nom sous lequel le virus se copie sur
le disque, à savoir respectivement ALEVIR.EXE et MARCO!.SCR.
En
cours de rédaction...
INFORMATIONS
COMPLEMENTAIRES :
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|