Worm.Win32.Opasoft.s

Printable View

12.10.2004, 20:52
Geser

Worm.Win32.Opasoft.s

Вирус-червь. Распространяется по локальным сетям через открытые сетевые ресурсы. Имеет размер 17920 байт, упакован ASPack. Размер распакованного файла около 25 КБ.

Признаком заражения компьютера является наличие файла "srv32.exe" в корневом (%windir%) каталоге Windows.

Размножение
При запуске червь копирует себя в каталог Windows с именем "srv32.exe" и регистрирует данный файл в ключе автозапуска:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Srv32"="%windir%\Srv32.exe"
Червь также создает дополнительный ключ в реестре, для идентификации своего присутствия в системе:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SRV32]
Червь пытается скопировать себя в корневой каталог Windows на другие компьютеры в локальной сети, если на них имеются открытые сетевые ресурсы. Затем он модифицирует файл "win.ini" на удаленном компьютере, таким образом, чтобы получить управление при следующем запуске системы.

Прочее
Червь пытается соединиться с сайтом украинского оператора мобильной связи ([url]http://sim-sim.com[/url]) и оправить SMS с указанием IP-адреса зараженного компьютера на номер +7050196ХХХХ.

[url]http://www.viruslist.com/viruslist.html?id=146018420[/url]
16.10.2004, 15:05
Alexey P.

Re:Worm.Win32.Opasoft.s

Этот червяк аналогичен лавсану, но для Win9x. Способен проникать по сети на защищенные паролем расшаренные диски C, используя уязвимость [url]http://www.microsoft.com/technet/security/bulletin/MS00-072.asp[/url].
Уязвимы :
•***Microsoft Windows 95
•***Microsoft Windows 98
•***Microsoft Windows 98 Second Edition
•***Microsoft Windows Me
Патч доступен по вышеуказанной ссылке (с октября 2000 года).

P.S. Интересно, много ли можно насчитать пропатченных машин в домашних сетках ? :).

P.P.S. Модификаций достаточно много:
[url]http://vil.nai.com/vil/content/v_99729.htm#Variants[/url]

Касперски Лаб предупредила о нарастающей эпидемии этого червя, но кто ж ее слушает :).
25.10.2004, 00:30
Alexey P.

Re:Worm.Win32.Opasoft.s

Hазвание червя: Win32.Opasoft.26625 (DrWeb)
Имя файла: C:\WINNT\SYSTEM32\srv32.exe
Упакован aspack'ом.

[url]http://www.kaspersky.ru/forum?rord=1&theme=148167242&thread=153251360[/url]

12.10.2004 15:42 | hh
обязательно ставить комулятивку от апреля
[url]http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx[/url]
и
[url]http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx[/url]
без нее пролазит на раз
у меня все нормально(XP,Win2kWks,Win2kSrv,WinNTtse)
Удачи и Вам!:)
ЗЫ:Пиво в студию!!!:)))***
*** *** *** *** ******
*** 14.10.2004 00:53 | KROKODILOV
Чувак! Был бы рядом, я бы Тебя пивом залил бы просто! Спасибо Тебе вот такенное! Выручил!
Респект ДРУГ!
С Уважением, Krokodilov

=======================================================
С сайта MS:
[url]http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx[/url]
Security Update for Microsoft Windows (835732)

Issued: April 13, 2004
Updated: August 10, 2004
Version: 2.1

(WindowsXP-KB835732-x86-ENU.EXE - 2646 kB)

[url]http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx[/url]
Microsoft Security Bulletin MS04-012
Cumulative Update for Microsoft RPC/DCOM (828741)

Issued: April 13, 2004
Updated: April 21, 2004
Version: 1.1

(WindowsXP-KB828741-x86-ENU.EXE - 3155 kB)