词条 | W32.Opaserv.Worm |
释义 | 发现: 2002 年 9 月 30 日 更新: 2007 年 2 月 13 日 11:41:27 AM 别名: W32/Opaserv.worm [McAfee], W32/Opaserv-A [Sophos], Win32.Opaserv [CA], WORM_OPASOFT.A [Trend], Worm.Win32.Opasoft [AVP] 类型: Worm 感染长度: 28,672 bytes 受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP CVE 参考: CVE-2000-0979 注意:由于提交率的提高,赛门铁克安全响应中心自 2002 年 9月 30 日起将此威胁级别从 2 类升级为 3 类。 W32.Opaserv.Worm 是一种具有网络意识的蠕虫。它会通过开放的网络共享传播。它将自己以 Scrsvr.exe 文件的方式复制到远端电脑,然后尝试从可能已经关闭的 www.opasoft.com 网站下载更新。感染的征兆如下∶ * 在 C 盘根目录出现文件 Scrsin.dat 和 Scrsout.dat。这意味着蠕虫已在本机上执行。 * 在 C 盘根目录出现文件 Tmp.ini。这意味本机被远端的计算机感染。 * 注册表键 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Run 包含字符串 ScrSvr 或 ScrSvrOld,这个值被设定至 c:\\tmp.ini. 如果您的计算机在一个网络中,通过 DSL、Cable 或 拨号网络与 Internet 长时间连接,我们强烈建议您使用防火墙软件。有关赛门铁克的防火墙软件产品,请到下列网址选购: www.symantec.com/region/cn/product/ 防护 * 病毒定义(每周 LiveUpdate™) 2002 年 9 月 30 日 * 病毒定义(智能更新程序) 2002 年 9 月 30 日 威胁评估 广度 * 广度级别: Low * 感染数量: More than 1000 * 站点数量: More than 10 * 地理位置分布: High * 威胁抑制: Moderate * 清除: Moderate 损坏 * 损坏级别: Low 分发 * 分发级别: Medium * 共享驱动器: Attempts to spread to non-password protected shares 当W32.Opaserv.Worm 执行时,它进行如下操作: 它在注册表键 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 检查值 ScrSvrOld 如果该值存在,蠕虫会删除 ScrSvrOld 指向的文件。 如果 ScrSvrOld 不存在,则蠕虫会结束执行,不论 ScrSvr 是否存在 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 键中。 如果该值不存在,蠕虫在注册表键中加入 ScrSvr %windir%\\ScrSvr.exe 然后它会检查该值是否以 %windir%\\ScrSvr.exe 文件的形式执行。如果没有,则将自己复制到该文件中并在该注册表键中加入下列值∶ ScrSvrOld <最初病虫名称> 注意:%windir% 是一个变量。蠕虫会找到 \\Windows 文件夹(默认位置是 C:\\Windows 或 C:\\Winnt),然后将自身复制到该位置。 当蠕虫检查完注册表键以及病虫执行的位置时,它会建立一个名 ScrSvr31415 为 Mutex 以确定是否正在执行。 如果蠕虫尚未执行,则它会将自己登录为 Windows 95/98/Me 下的程序。在 Windows NT/2000/XP 下则会进一步提升病毒程序的优先权。然后蠕虫会查寻所有“C\\” 网络共享目录并将自己复制到找到目录的 C\\Windows\\Crsvr.exe。 运行 Windows 95/98/Me 的计算机每次都会在 Windows 启动时运行病虫。它会在 C:\\Windows\\Win.ini 加入下列行 run= c:\\windows\\scrsvr.exe 注意: 蠕虫会在将自身复制为 %windir%\\ScrSvr.exe 之前修改 C:\\Windows\\Win.ini。因此, 计算机重启时,一个信息会显示说找不到 ScrSvr.exe。将病虫加入的行删除可以解决这个问题。 蠕虫代码显示它会在 Win.int 中加入:run= c:\\tmp.ini 但在实际传染中,病虫加入的是 run= c:\\ScrSvr.exe. 同时建立 C:\\Tmp.ini,内含如下内容 run= c:\\windows\\scrsvr.exe 该病虫似乎可以籍由自身存储的 URL 到一个网站获取更新。它还会试着下载 一个名为 Scrupd.exe 的更新文件。 建议 赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”: * 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。 * 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。 * 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。 重要信息: * 该蠕虫利用了Microsoft Windows 95/98/Me 的一个安全漏洞。它发送单个字符的密码来进入 Windows 95/98/Me 的共享资料夹,而不需要知道为资料夹设置的完整密码。为避免再次感染,请到下列链接下载并安装补丁程序: http://www.microsoft.com/technet/security/bulletin/MS00-072.asp * 移除蠕虫前请先断开计算机与 Internet 的连接。在重新连入网络前,请先关闭或使用密码保护共享文件夹,或设置共享文件夹为“只读”。更多信息请参照 How to configure shared Windows folders for maximum network protection。 * 从网络中清除蠕虫前,确认每个共享资料夹已关闭或设为“只读”。 使用W32.Opaserv.Worm 杀毒工具清除 这是最简便的清毒方法。赛门铁克安全响应已经开发出W32.Opaserv.Worm 杀毒工具。单击这里获取该工具。 手动清除 作为使用杀毒工具的替代手段,您也可以手动清除病毒: 1. 断开与网络的连接。 2. 更新病毒定义。 3. 运行完整的系统扫描,并删除所有被检测为 W32.Opaserv.Worm的文件。 4. 从注册表键 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 5. 删除下列值 ScrSvr %windir%\\ScrSvr.exe 和 ScrSvrOld <最初蠕虫名称> (仅适用于 Windows 95/98/Me) 6. 从 C:\\Windows\\Win.ini. 删除行 run= c:\\tmp.ini 7. 有关如何完成此操作的详细信息,请参阅下列指导。 8. 断开与网络的连接 如果你的计算机在网络中,或者通过 DSL 或 Cable 与 Internet 全天相连,您需要断开与它们的连接。在计算机与网络或 Internet 重新连接之前,请禁用或用密码保护文件共享。因为此蠕虫是通过共享文件夹在网络计算机上传播的,为确保蠕虫被删除后不再感染计算机,赛门铁克建议用只读访问或使用密码保护文件共享。有关如何进行该操作的指导,请参阅 Windows 文档或文档 如何配置共享 Windows 文件夹尽可能的保护网络。 要点:请不要跳过此步骤。试图删除此蠕虫之前,必须断开网络连接。 更新病毒定义: 所有的病毒定义在公布到服务器之前都经过赛门铁克安全响应中心的严格检测。您可以通过下列两种方式来获取最新病毒定义: * 运行 LiveUpdate,这是获得病毒定义最简便的方法。这些病毒定义通常每星期一次(星期三)更新到 LiveUpdate 服务器上,当有重要疫情发生时则例外。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义,请见本说明顶部的病毒定义 (LiveUpdate) 行。 * 使用“智能更新程序”下载病毒定义。会在工作日(周一至周五,美国时间)发布。必须从 Symantec 安全响应中心 Web 站点下载病毒定义,并手动进行安装。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义,请见本说明顶部的病毒定义(智能更新程序)行。 病毒定义更新安装程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装 Intelligent UpdaterTM 病毒定义,请单击这里。 扫描和删除受感染文件: 1. 启动 Symantec 防病毒程序,并确保已将其配置为扫描所有文件。 * Norton AntiVirus 单机版产品:请阅读文档:如何配置 Norton AntiVirus 以扫描所有文件。 * 赛门铁克企业版防病毒产品:请阅读“如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件”。 2. 运行完整的系统扫描。 3. 如果有任何文件被检测为感染了 W32.Opaserv.Worm,请单击“删除”。 从注册表删除蠕虫加入的值: 警告:赛门铁克强烈建议在更改注册表之前先进行备份。如果对注册表进行了不正确的更改,可能导致永久性数据丢失或文件损坏。请仅修改指定的键。有关指导,请参阅文档:如何备份 Windows 注册表。 1. 单击“开始”,然后单击“运行”。出现“运行”对话框。 2. 键入 regedit,然后单击“确定”。将打开“注册表编辑器”。 3. 浏览到以下键: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 4. 在右窗格中,删除下列内容: ScrSvr %windir%\\ScrSvr.exe ScrSvrOld <最初蠕虫名称> 5. 退出“注册表编辑器”。 删除蠕虫加入到 Win.ini 的值: 只有安装 Windows 95/98/Me 的电脑才需要进行该操作。 注意:(仅适用于 Windows Me 用户)由于 Windows Me 具有文件防护功能,因此 C:\\Windows\\Recent 文件夹中存在要编辑文件的一个备份副本。Symantec 建议在继续下一部分中的操作之前删除此文件。要使用 Windows 资源管理器完成此操作,请转至 C:\\Windows\\Recent,然后在右窗格中选中 Win.ini 文件并将其删除。将更改保存到要编辑的文件时,会重新生成此文件的一个副本。 1. 单击“开始”,然后单击“运行”。 2. 键入以下内容,然后单击“确定”: edit c:\\windows\\win.ini 3. 将打开 MS-DOS Editor。 注意:如果 Windows 安装在其它位置,请用相应的路径代替。 在文件的 [windows] 部分,查找与下列显示相似的项: run= c:\\tmp.ini 4. 选择整个行。确认你没有选择文件中其它内容后,按 Delete。 5. 单击 File,然后单击 Save。 6. 单击 File,然后单击 Exit。 注意:有些感染案例显示 该蠕虫会在感染其它病虫后一起传染到一台计算机上。鉴于此,建议您在清除 W32.Opaserv.Worm 之后 运行全面系统扫描。如果显示有任何文件有感染迹象,请到 http://securityresponse.symantec.com/avcenter/vinfodb.html 搜索有关信息后依照说明清除病毒。 赛门铁克中国安全响应中心收录所有三级及三级以上病毒、病毒清除工具的中文翻译。 描述者: Douglas Knowles |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。