поиск:    

 
переход:  



Екатеринбург Онлайн
Форумы:  Операторы связи,   Модели телефонов,   Покупка-продажа телефонов,   Цифровое фото,   Обсуждение гаджетов,   Интернет

  Форумы  > Технологии > Технические вопросы (железо)  

Worm.Win32.Opasoft у кого был?


Список Тем  |   Поиск  |   Правила  |   Статистика  |
Worm.Win32.Opasoft у кого был?   #6106  наверх
Автор: 
Дата:   

Кто-нибудь, кроме нас подхватил, что делали?
  |  Поделиться:  
Re: Worm.Win32.Opasoft у кого был?   #6111  наверх
Автор: nothing [гость]
Дата:   

Парни, давайте помогайте, а то у нас вся контора на это ляжет
  |  Поделиться:  
Re: Worm.Win32.Opasoft у кого был?   #6129  наверх
Автор: Aleksey [гость]
Дата:   

качайте обновлялку с какого-нибудь антивиря и лечитесь.
  |  Поделиться:  
Re: Worm.Win32.Opasoft у кого был?   #6132  наверх
Автор: Станислав (СлаваБергер
Дата:   

Вот вырезка с http://www.viruslist.com/viruslist.html?id=1143777...

Worm.Win32.Opasoft (aka Opaserv)

Вирус-червь со встроенной троянской программой типа "бекдор". Распространяется по локальным и глобальным сетям используя протокол NETBIOS, предоставляемый MS Windows. Является приложением Windows (PE EXE-файл), имеет размер около 28K.


Инсталляция
При запуске копирует себя в каталог Windows c именем "scrsvr.exe" и регистрирует этот файл в команде автозапуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ScrSvr = %worm name%
Затем червь удаляет свой первоначальный файл, из которого был запущен.


Распространение
Для того, чтобы найти компьютеры-жертвы червь сканирует подсети по порту 137 (NETBIOS Name Service). Сканируются IP-адреса следующих сетей:

подсеть текущего (зараженного) компьютера (aa.bb.cc.??)
две ближайшие подсети текущего компьютера (aa.bb.cc+1.?? , aa.bb.cc-1.??)
случайно выбранную подсеть (за исключением некоторых "запрещенных" к сканированию сетей)
Если при сканировании случайной подсети какой-либо IP-адрес "отзывается" (т.е. такой адрес соответствует реальному компьютеру), то червь также сканирует две ближайшие подсети данного IP-адреса.

Если со сканируемого IP-адреса приходит "ответ", то червь проверяет в нём определенне поле. Если там указано, что на данном компьютере запущена служба распределенного использования файлов и принтера (File and Print Sharing), то червь запускает процедуру заражения этого компьютера (удаленного хоста).

При заражении червь посылает по 139-му порту (NETBIOS Session Service) SMB-пакеты специального вида. В этих пакетах передаются следующие команды:

Устанавливается соединение с ресурсом \\hostname\C (где "hostname" - имя компьютера-жертвы, которое определяется по "ответу" с него при сканировании)
Если ресурс закрыт паролем, то червь перебирает все односимвольные пароли.
При успешном соединении с ресурсом червь передаёт на него свой EXE-файл, при этом в команде указывается полное имя файла, в который EXE-файл будет сохранён - WINDOWS\scrsvr.exe
Затем червь считывает с компьютера-жертвы файл WINDOWS\win.ini и записывает его на локальный диск под именем C:\TMP.INI
В этот INI-файл записывается команда авто-запуска червя (команда "run=" в секции [windows]) и результат передаётся обратно на компьютер-жертву.
В результате приёма-передачи этих пакетов на удалённом компьютере появляются два файла:

\WINDOWS\scrsvr.exe - копия червя \WINDOWS\win.ini - INI-файл Windows с командой авто-запуска червя.
В результате при очередном рестарте компьютера червь получает управление.


Бекдор
Бекдор-троянец открывает Web-сайт www.opasoft.com file и выполняет следующие действия:

скачивает и запускает свою новую версию (если таковая там присутствует)
скачивает и выполняет специальные скрипт-файлы
Новая версия червя скачивается в файл "scrupd.exe", который потом запускается на выполнение и замещает текущую версию червя.

При работе бекдор-процедура использует два свои файла данных: "ScrSin.dat" и "ScrSout.dat". Эти файлы зашифрованы сильным крипто-алгоритмом.

Поскольку сервер www.opasoft.com более недоступен, то дальнейшая информация о действиях данной бекдор-процедуры отсутствует.


Технические детали
Для того, чтобы исключить повторный запуск своих копий червь создаёт Windows mutex с именем "ScrSvr31415".

Заражению подвергаются компьютеры с установленной MS Windows 9x. Возможность заражения NT-систем не подтверждена.

Одна из версий червя ведет логи сканируемых и заражаемых компьютеров в файлах "ScrLog" и "ScrLog2".

Удаление
Широкое распространение данного червя произошло по той причине, что он использует стандартные установки Windows:

распространение происходит по стандартному протоколу NETBIOS
имя ресурса "\\hostname\C" предлагается по умолчанию при открытии доступа к диску C:
по умолчанию пароль на доступ к ресурсу не запрашивается
"ленивые" пользователи (каких немало) либо вообще не устанавливают пароль на доступ к ресурсу, либо делают его однобуквенным
Для того, чтобы избавиться от червя и защитить компьютер от повторных заражений достаточно:

либо запретить доступ к ресурсам, либо установить достаточно длинный пароль
удалить EXE-файл червя
удалить команду "run=" в файле WIN.INI (см. выше)
удалить команду "run" в системном реестре (см. выше)

Удачи...;-)
  |  Поделиться:  
Список Тем  |   Поиск  |   Правила  |   Статистика  |

Внимание! сейчас Вы не авторизованы и не можете подавать сообщения как зарегистрированный пользователь. Чтобы авторизоваться, нажмите на эту ссылку (после авторизации вы вернетесь на эту же страницу)


 Мой E1 
 
Вход для зарегистрированных пользователей:
E-mail:
Пароль:
Если Вы не зарегистрированы, то добро пожаловать на страницу регистрации.
Если Вы зарегистрированы, но забыли пароль, Вы можете его запросить.

Развернуть блок
 Погода