基本信息

具体介绍

补丁

基本信息

病毒名称：Win32.Opaserv.A

其它名称：W32.Opaserv.Worm,W32/Scrup.worm,Worm.Win32.Opasoft

病毒属性：蠕虫病毒 危害性：低危害 流行程度：中

具体介绍

Win32.Opaserv是一种通过共享Windows驱动器传播的蠕虫，并且在2002年10月初开始大范围传播。

运行的时，蠕虫会拷贝自己到Windows目录下。随后添加下面的健值到注册表中以便每次Windows启动时这份拷贝都被运行：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ScrSvr="%Windows%\\ScrSvr.exe"

蠕虫也创建下面的这个注册表健值：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\ScrSvrOld="ScrSvr.exe"

这个键值设置病毒初始运行的文件，随后该健值被删掉

文件ScrSin.dat和ScrSout.dat也将被创建在%Windows%目录下。

蠕虫利用了Windows 95, 98, 98SE及ME在验证网络共享密码时的一个老漏洞，通过Windows Networking（SMB）网络来拷贝自己。简而言之，上述没有打补丁的操作系统会被欺骗成接受一个单字符密码，而不管原来的共享密码实际上的长度。微软在2002年10月为这个漏斗出了一个补丁。问题的主要描述和补丁下载的地址以及安装说明可以访问下面的这个微软安全报告：

http://www.microsoft.com/technet/security/bulletin/ms00-072.asp

补丁

所有开放了文件及打印共享的Windows 95, 98, 98SE及ME用户都应该安装这个补丁。虽然上面这个安全报告给出的安装建议毫无说服力，但你真的应该考虑这个重要的升级。利用代码，允许远程的密码发现相对应的共享级别的密码，这是从上述漏洞一被发现之后就有的，但Opaserv是第一个懂得利用这个弱点的坏件（malware，新一代主动式恶意代码的统称）。

这个关于共享级别密码的漏洞只影响到非NT版的Windows。且它只影响通过共享级别访问权限得到的共享，Windows 9x及ME作为域的部分及仅应用了用户级别（或域）访问控制的机器不会受到此漏洞影响。

早期关于Opaserv的报告指出，Opaserv通过不设密码的共享和只有简单密码的共享服务传播。但这是错误的。Opaserv随机选择IP利用上面所提及的共享级别的密码漏洞特别是C:盘的共享密码来进行传播。如果蠕虫搜索到共享资源，它会尝试复制自己到共享资源的\\WINDOWS\\scrsvr.exe下。

蠕虫会尝试访问Web站点下载scrupd.exe文件来升级自己。但是这个服务器已经被关闭了，所以它不会给大家带来更多的恐惧了。