Sophos

W32/Opaserv-D

Alias
  • Worm.Win32.Opasoft.d
  • BackDoor-ALB
  • trojan
Categoría
Tipo
Qué hacer
Prevalencia baja alta

Resumen

 
Incluido en nuestros productos desde Noviembre 2003 (3.75)
Protección disponible desde 28 de septiembre de 2003 09:46:38 (GMT)
Detectado por Todos los productos de Sophos

Acción

Vea la información para eliminar gusanos.

Vea la información (en inglés) para eliminar gusanos.

Antes de comenzar con la desinfección, desconecte su equipo de Internet.

Editar win.ini

Ejecute el comando Inicio|Ejecutar. Escriba 'Sysedit' y haga clic en Aceptar. Seleccione el documento Win.ini, busque referencias a los archivos que habían sido detectados y bórrelas.

Windows NT/2000/XP

En Windows NT/2000/XP también tendrá que borrar la siguiente clave del registro (opcional en equipos con Windows 95/98/Me).

Ejecute el comando Inicio|Ejecutar. Escriba 'Regedit' y haga clic en Aceptar.

Antes de modificar el registro del sistema debería hacer una copia en un archivo. En la ventana Editor del Registro, ejecute el comando 'Exportar archivo del Registro' del menú 'Registro' y seleccione 'Todos' en la sección 'Intervalo de exportación'.

Localice y borre la siguiente clave dentro de HKEY_LOCAL_MACHINE:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
ScrSvr = C:\WINDOWS\ScrSvr.exe

Cierre el editor del registro.

Tras editar win.ini y el registro

Reinicie su equipo.

Localice y borre los siguientes archivos en el directorio raíz en la unidad C:

tmp.ini
scrsin.dat
scrsout.dat

Compruebe unidades compartidas abiertas que pueda haber en su equipo, especialmente si tiene conexión a Internet.

Más información

W32/Opaserv-D es una variante de W32/Opaserv-A, un gusano que se extiende a través de unidades compartidas en redes.

Al ejecutarse, el gusano crea el archivo scrsvr.exe en la carpeta Windows y crea la siguiente entrada en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvr =
C:\WINDOWS\ScrSvr.exe

El gusano intentará copiarse al directorio Windows de los equipos en red a los que tenga acceso y modificará el archivo win.ini en esos equipos para ejecutarse en el inicio del sistema. El gusano busca direcciones IP locales en la busca de equipos con la unidad C: compartida e intentará copiarse en la carpeta Windows.

W32/Opaserv-D también intentará conectar con un sitio Web, probablemente para obtener actualizaciones. Ese sitio Web ya sido cerrado.

También es posible encontrar los siguientes archivos no víricos en el directorio raíz en equipos infectados:

tmp.ini
scrsin.dat
scrsout.dat

RSS|Atom
Recibir informes sobre las amenazas de virus y programas espía más recientes