Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

 

W32/Opasoft.A. Se propaga a través del puerto 139
 
VSantivirus No. 817 - Año 6 - Miércoles 2 de octubre 2002

W32/Opasoft.A. Se propaga a través del puerto 139
http://www.vsantivirus.com/opasoft-a.htm

Nombre: W32/Opasoft.A
Tipo: Gusano de Internet
Alias: W32.Opaserv.Worm, W95/Scrup.worm, Worm_Opasoft.a, W32/Opasoft-A, OpaSoft, Worm/OpaSoft, BackDoor-ALB, Backdoor.Opasoft, Bck/Opasoft, Worm.Win32.Opasoft, WORM_OPASOFT, WORM_OPASOFT.A, W32/Opaserv.worm, W32/Opaserv-A, Win32.Opaserv, W32/Scrup.worm, Worm.Win32.Opasoft.a, Opasoft, Scrup, Worm/Opas.A, Opas
Fecha: 30/set/02
Tamaño: 28,672 bytes
Plataforma: Windows 32-bits

Forma de propagación

Este gusano posee la capacidad de propagarse a través de recursos compartidos en redes de computadoras usando el puerto 139 (Netbios, NETBeui). Si su computadora tiene activa la opción "Compartir impresoras y archivos para redes Microsoft", podría ser accedida a través de Internet, y por lo tanto ser infectada con este gusano. Netbios utiliza además el puerto 137 para la búsqueda del "nombre de Windows" correspondientes a los recursos compartidos.

Para estas acciones, el gusano hace uso del protocolo de comunicación llamado SMB (Server Message Block Protocol), el cuál es empleado por los sistemas operativos basados en MS-Windows para acceder a los recursos compartidos de una red, a través del puerto 139 (NetBeui en sistemas Microsoft Windows).

Para acceder a estos recursos, el gusano se aprovecha de una vulnerabilidad conocida desde hace mucho tiempo, respecto a la forma en que Windows (95, 98, 98 SE y Me) verifica las contraseñas en una red compartida, de modo que puede llegar a aceptar un solo carácter (letra o número), sin importar lo larga que sea la contraseña.

La corrección para esta falla en esos sistemas operativos, está disponible desde octubre de 2000 (http://www.microsoft.com/technet/security/bulletin/ms00-072.asp).

Todos los usuarios que utilicen la opción de compartir archivos e impresoras con Windows 95, 98, 98 SE y Me, deben descargar e instalar el parche desde dicho enlace.

Desde que la falla fue revelada, existen códigos que explotan esta vulnerabilidad, pero Opasoft es el primer gusano que se aprovecha realmente de la misma.

Esta falla no afecta ni a Windows NT, ni 2000 ni XP. Adicionalmente, en las versiones vulnerables de Windows solo pueden verse afectados recursos compartidos con el mismo nivel de acceso permitido (dominio), y en Windows 95, 98, 98 SE y Me, solo existe el nivel de usuario.

Los primeros reportes de Opasoft sugerían que podía propagarse a través de recursos abiertos (sin contraseñas), y para evitar su propagación se aconsejaba no mantener estos configurados sin autenticación mediante contraseñas. Esto es incorrecto. Opasoft se propaga explotando la vulnerabilidad mencionada, intentando específicamente copiarse al recurso "C", que es el nombre por defecto para el raíz de la unidad de disco "C:", siempre que tenga el acceso de lectura y escritura habilitados, o también a través de direcciones IP seleccionadas al azar.

No corregir esta vulnerabilidad, hace que todo procedimiento de desinfección sea inútil, ya que una computadora volvería a infectarse al conectarse a una red o a Internet.

La presencia de un cortafuegos que bloquee el acceso mediante Netbios, también impide la propagación del gusano (como ZoneAlarm a nivel doméstico, por ejemplo).

El hecho que el servidor desde donde el gusano podría actualizarse mediante la descarga de un archivo, haya sido dado de baja, hace que el único riesgo que este gusano presenta por el momento, es el de su propagación.

En una computadora infectada, puede existir alguno (o todos) los siguientes archivos (dependiendo si la infección ha sido local o a través de la red):

C:\ScrSin.dat
C:\ScrSout.dat
C:\tmp.ini
C:\Windows\ScrSvr.exe

Una vez activo en memoria, el gusano se registra como un proceso que en forma repetitiva escanea la red en busca de otras máquinas conectadas, aumentando el valor del último octeto de la dirección IP de la máquina actual:

Ejemplo:

IP de la computadora:
Búsquedas:
 169.254.233.48
 169.254.233.49, 169.254.233.50, etc...

Luego obtiene los nombres y las direcciones IP de las máquinas encontradas, y envía esta información al sitio de descarga mencionado antes.

Luego, verificará la existencia de la siguiente entrada en el registro de la máquina:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ScrSvrOld = C:\tmp.ini

Si dicho valor existe, el gusano borra el archivo C:\TMP.INI

Si el valor no existe, entonces se examina la presencia del siguiente valor:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ScrSvr = C:\Windows\ScrSvr.exe

En todos los casos, 'C:\Windows' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME y XP, y como 'C:\WinNT en Windows NT/2000).

Si "ScrSvr = C:\Windows\ScrSvr.exe" no existe, el gusano lo agrega a la mencionada clave (eso hará que el gusano se autoejecute en cada reinicio de Windows).

Luego, verificará si se está ejecutando desde C:\Windows\ScrSvr.exe

Si la respuesta es no, entonces se copiará a si mismo con dicho nombre en esa carpeta y se agregará al registro mencionado.

Después de la verificación de los valores del registro y de la ubicación de si mismo, el gusano busca si existe otra instancia de si mismo ejecutándose, buscando un mutex llamado "ScrSvr31415" (un mutex es un objeto utilizado para controlar el acceso a cualquier tipo de recursos como programas y aplicaciones, y evitar que más de un proceso acceda al mismo tiempo al mismo recurso).

Si no hay ninguno activo, el gusano se registra a si mismo como un proceso (bajo Windows 9x y Me), o eleva la prioridad del proceso actual (Windows NT, 2000 y XP).

El gusano enumerará los recursos compartidos como "C\" que encuentre en la red (configuración por defecto al compartir recursos desde la unidad C:\ con la red), y en cada recurso encontrado, que posea los derechos respectivos de escritura, se copiará a si mismo como:

C\Windows\scrsvr.exe

También modificará el archivo WIN.INI (bajo la etiqueta [windows]), para incluir la siguiente entrada:

run = C:\tmp.ini

Luego creará el archivo "C:\tmp.ini", el cuál contiene el siguiente texto:

run=C:\windows\scrsvr.exe

De ese modo, al iniciarse la computadora, se ejecutará WIN.INI (C:\Windows\Win.ini) y luego SCRSVR.EXE, o sea el propio gusano.

El gusano posee la habilidad de auto actualizarse al conectarse al sitio mencionado antes. Para ello intenta descargar y ejecutar el archivo "scrupd.exe". Actualmente este sitio ha sido dado de baja.

Como parte de los preparativos para esta actualización, el gusano crea los archivos SCRSIN.DAT y SCRSOUT.DAT en el raíz de C:\

Note que de tener activa la opción "Compartir impresoras y archivos para redes Microsoft", su computadora podría ser accedida a través de Internet, e infectada con este gusano.

Para evitarlo, en un sistema doméstico, deshabilite la opción "Compartir impresoras y archivos para redes Microsoft" como se indica en este artículo (se aconseja solo en Windows 95, 98 y Me):

Como deshabilitar compartir archivos con TCP/IP
http://www.vsantivirus.com/compartir.htm

O utilice un cortafuegos como ZoneAlarm:
http://www.vsantivirus.com/za.htm


IMPORTANTE: descargue e instale este parche:


'Share Level Password' Vulnerability (MS00-072)
http://www.microsoft.com/technet/security/bulletin/ms00-072.asp


Herramientas para quitar el W32/Opasoft.A de un sistema infectado


Para eliminar este gusano de un sistema infectado, se sugieren las siguientes herramientas (eliminan la mayoría de las versiones conocidas):


Copyright (c) Paolo Monti - Future Time S.r.l.


Reparación manual

Esta información se refiere a todas las versiones de Opasoft conocidas a la fecha (menos Opasoft.X y Opasoft.Y), por lo tanto no todos los archivos mencionados existirán en todos los casos.


Nota: Para la limpieza de las versiones X e Y, siga estos enlaces:

W32/Opasoft.X. Se propaga vía recursos compartidos
http://www.vsantivirus.com/opasoft-x.htm

W32/Opasoft.Y. Se propaga vía recursos compartidos
http://www.vsantivirus.com/opasoft-y.htm



Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza e instalar el parche mencionado antes ('Share Level Password'). No corregir dicha vulnerabilidad, hace que todo procedimiento de desinfección sea inútil, ya que una computadora volvería a infectarse al conectarse a una red o a Internet.

1. Actualice sus antivirus con las últimas definiciones

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Deshabilitar la opción de archivos compartidos

1. Pulse en Inicio, Configuración, Panel de Control (o Mi PC, Panel de Control). (En Windows Me, deberá pulsar "Ver todas las opciones del Panel de Control" si no ve el icono "Red").

2. Haga doble clic sobre el icono "Red".

3. Seleccione la etiqueta "Configuración".

4. Por cada línea que contenga "TCP/IP ->", ejecute los siguientes pasos (5, 6, 7 y 8):

5. Seleccione la línea.

6. Pulse en el botón "Propiedades" (dependiendo la versión de Windows, puede recibir una advertencia sobre los iconos de conexión, ignórela y pulse "Aceptar").

7. Seleccione la etiqueta "Enlaces".

Allí podría encontrar algo como esto:

[  ] Cliente para redes Microsoft
[  ] Compartir impresoras y archivos para redes Microsoft

O al menos UNO de ellos.

8. Desmárquelos a TODOS, y luego pulse en "Aceptar".

Recibirá un mensaje de advertencia sobre que usted no ha seleccionado ningún vínculo o enlace para ese adaptador. Ignórelo y seleccione que NO desea asignarle nada.

9. Repita este paso por cada línea con "TCP/IP ->".


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos (según las versiones, es probable no estén todos ellos):

C:\ScrSin.dat
C:\ScrSout.dat
C:\tmp.ini
C:\Windows\ScrSvr.exe
C:\Windows\ScrSin.dat
C:\Windows\ScrSout.dat
C:\Windows\ScrLog
C:\Windows\ScrLog2
C:\Windows\BRASIL.PIF
C:\Windows\BRASIL.EXE
C:\put.ini
C:\BRASIL.DAT
C:\BRASIL!.DAT
C:\Windows\ALEVIR.EXE
C:\Windows\PUTA!!.EXE
C:\Windows\MARCO!.SCR
C:\GAY.INI
C:\Mane!!.dat
C:\FDP!!!!.dat
C:\vaisef.exe
C:\Windows\INSTIT.BAT
C:\INSTITU
C:\GUSTAV.SAP
C:\INSTITU.VAT
C:\WIN.INI
C:\Windows\MQBKUP.EXE
C:\Windows\MSBIND.DLL
C:\Windows\MSCAT32.DLL
C:\MSLICENF.COM
\BOOT.EXE
\BOOTSECT.DOS
C:\Windows\MSTASK.EXE
C:\Windows\System\WINSRV.EXE
C:\Windows\System\SCR.SCR
C:\Windows\MSLOAD.EXE
C:\Windows\MSBIND.DLL

Si existe algún archivo en el formato C:\nombre.INI en el raíz de cada unidad C (tanto en la computadora local como en cada máquina de una red), diferente a los mencionados en la lista anterior, bórrelo (o renómbrelo si tiene dudas, por ejemplo como Nombre.OLD).

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas (aparece una sola, de acuerdo a la versión del gusano):

ScrSvr
ScrSvrOld
Brasil
Alevir
Puta!!
cronos
Cuzao!Old
instit
mqbkup
mstask
Winsrv
scr

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\
RunServices

5. Pinche en la carpeta "RunServices" y en el panel de la derecha busque y borre las siguientes entradas (aparece una sola, de acuerdo a la versión del gusano):

LoadManager

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Editar el archivo WIN.INI (Windows 95, 98 y Me)

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente (de acuerdo a la versión aparece una sola de las siguientes entradas):

[Windows]
run = C:\tmp.ini

[Windows]
run = C:\Windows\ScrSvr.exe

[Windows]
run = C:\Windows\BRASIL.PIF

[Windows]
run = C:\Windows\BRASIL.EXE

[Windows]
run = C:\Windows\ALEVIR.EXE

[Windows]
run = C:\Windows\PUTA!!.EXE

[Windows]
run = C:\put.ini

[Windows]
run = C:\Windows\MARCO!.SCR

[Windows]
run = C:\GAY.INI

[Windows]
run = C:\Windows\Instit.bat

[Windows]
Run = C:\Windows\MQBKUP.EXE

[Windows]
Run = C:\Windows\MSTASK.EXE

Debe quedar como:

[Windows]
run=

3. Grabe los cambios y salga del bloc de notas.

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Método para revisar Autoexec.bat

Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.

* Usuarios de Windows Me solamente:

En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.

Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.

* Usuarios de Windows 95, 98 y Me:

1. Pulse el botón Inicio y luego Ejecutar

2. Escriba lo siguiente y pulse OK.

edit c:\autoexec.bat

Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat

3. Borre todas las líneas que contengan el comando @MSLICENF.COM si éste existiera:

4. Seleccione Archivo, Guardar, para grabar los cambios.


En Windows Millenium, deberá reinstalar los siguientes archivos:

C:\IO.SYS
C:\COMMAND.COM
C:\Windows\System\REGENV32.EXE

Para ello utilice la siguiente técnica:

1. Desde Inicio, Ejecutar, escriba MSCONFIG y pulse Enter.

2. Pinche en el botón "Extraer archivo"

3. En "Especifique el nombre del archivo que desea restaurar" escriba el nombre del archivo a restaurar (uno por vez):

IO.SYS
COMMAND.COM
REGENV32.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN9X, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener C:\ para IO.SYS y COMMAND.COM, y C:\Windows\System para REGENV32.EXE.

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\MSConfigs\Backups").

9. Reitere todos los pasos para cada uno de los tres archivos a recuperar.

En caso de fallar este intento de recuperación, deberá reinstalar Windows Me desde el CD de inicio o iniciando con un disquete y luego ejecutando INSTALAR.EXE del CD.


Instalar parche para vulnerabilidad "Share Level Password".

Descargue el parche necesario según se explica en el siguiente artículo (inglés):

http://www.microsoft.com/technet/security/bulletin/ms00-072.asp


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Más información:

W32/Opasoft.B. Variante del Opasoft.A en la calle
http://www.vsantivirus.com/opasoft-b.htm

W32/Opasoft.D. Nueva variante y cómo se propaga
http://www.vsantivirus.com/opasoft-d.htm

W32/Opasoft.E (Silbra). Variante con el nombre de BRASIL
http://www.vsantivirus.com/opasoft-e.htm

W32/Opasoft.F. Se copia en "C:\Windows\Alevir.exe"
http://www.vsantivirus.com/opasoft-f.htm

W32/Opasoft.G. Se copia en "C:\Windows\Puta!!.exe"
http://www.vsantivirus.com/opasoft-g.htm

W32/Opasoft.H. Se copia como "MARCO!.SCR"
http://www.vsantivirus.com/opasoft-h.htm

W32/Opasoft.I. Se copia como "INSTIT.BAT"
http://www.vsantivirus.com/opasoft-i.htm

W32/Opasoft.J. Usa "MQBKUP.EXE", borra duro y CMOS
http://www.vsantivirus.com/opasoft-j.htm

W32/Opasoft.K. Usa "MSTASK.EXE" para propagarse
http://www.vsantivirus.com/opasoft-k.htm

W32/Opasoft.M. Ejecuta "MSTASK.EXE" y borra CMOS y duro
http://www.vsantivirus.com/opasoft-m.htm

W32/Opasoft.P. Detiene antivirus, borra el disco duro
http://www.vsantivirus.com/opasoft-p.htm

W32/Opasoft.X. Se propaga vía recursos compartidos
http://www.vsantivirus.com/opasoft-x.htm

W32/Opasoft.Y. Se propaga vía recursos compartidos
http://www.vsantivirus.com/opasoft-y.htm

El ISC advierte sobre aumentos de escaneos al puerto 137
http://www.vsantivirus.com/30-09-02.htm

Curiosidades del puerto 137
http://www.vsantivirus.com/p137.htm



Actualizaciones:
 
   7/oct/02 - Modificaciones para las versiones "B" y "D".
  21/oct/02 - Modificaciones para la versión "E".
  24/oct/02 - Modificaciones para las versiones "F" y "G".
  29/oct/02 - Modificaciones para la versión "H".
   6/nov/02 - Modificaciones en las instrucciones de eliminación
  12/nov/02 - Modificaciones para la versión "I".
  24/dic/02 - Modificaciones para la versión "J".
  27/dic/02 - Modificaciones para la versión "K".
  28/dic/02 - Modificaciones para la versión "M".
   4/mar/03 - Modificaciones para la versión "P".
 14/mar/03 - Alias: Worm/Opas.A, Opas
  23/set/03 - Modificaciones en la descripción
  23/set/03 - Información sobre las versiones X e Y




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS