Opaserv

Desde el mes de Septiembre del 2002 a la fecha, una familia de gusanos viene amenazando en Internet y ha causado confusión entre algunos desarrolladores de antivirus que hasta le han asignado nombres con diferentes extensiones. Esta familia está actualmente controlada y mencionamos sus variantes mas notables sin extendernos en tecnicismos que a la mayoría de usuarios les resulta irrelevantes.

OPASERV.G es un gusano reportado el 30 de Octubre del 2002, miembro de la misma familia y variante del gusano Opasoft, descubierto en Septiembre del 2002, creado por el mismo autor, y que a partir de su primera versión empezó a propagar sub-siguientes variantes, con diferentes nombres de archivos de extensiones .EXE, PIF, SCR, etc., pero todos con la misma estructura viral.

Esta última tiene 28 KB de extensión y posee una rutina de ingreso furtivo, conocida como backdoor, la cual se propaga a través de redes locales y compartidas usando los servicios del NETBIOS de MS Windows.

Es un PE (Portable Ejecutable) e infecta todos los sistemas operativos Windows95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

El gusano se auto-instala en el directorio de Windows con el nombre scrsvr.exe y lo agrega a la llave de registro para ejecutarse la próxima vez que se inicie el sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
ScrSvr = "%nombre_del_gusano%"

Este gusano rastrea los sub-nets por el puerto 137 de Servicio del NETBIOS y busca determinadas direcciones IP dentro de unidades de redes y si encuentra que el o los equipos tienen abierto el servicio "File and Print Sharing", empieza su proceso de infección, tomando control de los mismos en forma remota.

Opaserv.F se propaga en los equipos que comparten la unidad C:\ con completo acceso en la red donde se produce la infección, para lo cual emplea el comando SMB (Server Message Block Protocol) para acceder a las unidades compartidas.

Este gusano envía información a un sitio en la web, actualmente deshabilitado, desde el cual descarga los archivos infectados mane!!.dat y FDP!!!!.dat y los instala en el directorio raíz C:\ los mismos que son usados para el intercambio de información con el portal ubicado en Brasil.

En los equipos remotos el gusano crea el archivo GAY.INI en C:\ y lo sobre-escribe en %Windows%\win.ini y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
cronos = “%Windows%\MARCO!.SCR”

%Windows%, es una variable que por defecto es C:\Windows para Windows 95/98/Me/XP y C:\Winnt para NT/2000.

Opaserv.E es una variante que al ejecutarse desencripta su código y se auto-copia a %Windows% con los nombres de BRASIL.PIF o BRASIL.EXE.

Para ejecutarse la próxima vez que se inicie el sistema crea las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Brasil = %Windows%\BRASIL.PIF

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Brasil = %Windows%\BRASIL.EXE

El gusano propaga los archivos infectados BRASIL.PIF o BRASIL.EXE y los ejecuta como un proceso que no se muestra en la Barra de Tareas de Windows.

Infecta a través de las unidades que comparten C:\ buscando los equipos que tengan completo acceso a la red, para lo cual aprovecha la vulnerabilidad de Share Level Password de Windows (Nivel compartido de Passwords), la cual permite que un intruso, en forma remota, pueda acceder a los sistemas sin necesidad de conocer los passwords de acceso.

El parche de seguridad para esta vulnerabilidad debe ser descargado a la brevedad posible desde: