Lima, 30 de Diciembre del 2002

Familia de gusanos W32/OPASERV,  W32/OPASOFT, I.worm.Opaserv 

Desde el mes de Septiembre del 2002 a la fecha, una familia de gusanos viene amenazando en Internet y ha causado confusión entre algunos desarrolladores de antivirus, que obviamente le han asignado el mismo nombre, pero con diferentes extensiones. Al parecer a la fecha ya habría llegado a su versión M o N.  Es importante destacar que un virus tiene una estructura de programación definida y si su autor crea variantes, éstas tienen ligeras modificaciones en su payload o simplemente el nombre o la extensión del archivo infector es cambiada.

En caso contrario, se trataría de un nuevo virus o gusano en particular. 

Esta familia está totalmente controlada, pues es suficiente desarrollar una rutina Heurística, específica, para su estructura viral ampliamente conocida. Debido a ello mencionamos sus variantes mas notables, sin extendernos en tecnicismos que a la mayoría de usuarios les resulta irrelevantes. 

Opaserv.E es una variante que al ejecutarse desencripta su código y se auto-copia a %Windows% con los nombres de BRASIL.PIF o BRASIL.EXE.  

Para ejecutarse la próxima vez que se inicie el sistema crea las siguientes llaves de registro: 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Brasil = %Windows%\BRASIL.PIF

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Brasil = %Windows%\BRASIL.EXE

El gusano propaga los archivos infectados BRASIL.PIF o BRASIL.EXE y los ejecuta como un proceso que no se muestra en la Barra de Tareas de Windows. 

Infecta a través de las unidades que comparten C:\ buscando los equipos que tengan completo acceso a la red, para lo cual aprovecha la vulnerabilidad de Share Level Password de Windows (Nivel compartido de Passwords), la cual permite que un intruso, en forma remota, pueda acceder a los sistemas sin necesidad de conocer los passwords de acceso.

El parche de seguridad para esta vulnerabilidad debe ser descargado a la brevedad posible desde:

http://www.microsoft.com/technet/security/bulletin/ms00-072.asp

Esta última tiene 28 KB de extensión y posee una rutina de ingreso furtivo, conocida como backdoor, la cual se propaga a través de redes locales y compartidas usando los servicios del NETBIOS de MS Windows. 

Es un PE (Portable Ejecutable) e infecta todos los sistemas operativos Windows95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000. 

El gusano se auto-instala en el directorio de Windows con el nombre scrsvr.exe y lo agrega a la llave de registro para ejecutarse la próxima vez que se inicie el sistema: 

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
ScrSvr = "%nombre_del_gusano%"

Este gusano rastrea los sub-nets por el puerto 137 de Servicio del NETBIOS y busca determinadas direcciones IP dentro de unidades de redes y si encuentra que el o los equipos tienen abierto el servicio "File and Print Sharing",  empieza su proceso de infección, tomando control de los mismos en forma remota. 

Opaserv.F se propaga en los equipos que comparten la unidad C:\ con completo acceso en la red donde se produce la infección, para lo cual emplea el comando SMB (Server Message Block Protocol) para acceder a las unidades compartidas. 

Este gusano envía información a un sitio en la web, actualmente deshabilitado, desde el cual descarga los archivos infectados mane!!.dat y FDP!!!!.dat y los instala en el directorio raíz C:\ los mismos que son usados para el intercambio de información con el portal ubicado en Brasil. 

En los equipos remotos el gusano crea el archivo GAY.INI en C:\ y lo sobre-escribe en %Windows%\win.ini y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
cronos = “%Windows%\MARCO!.SCR”

%Windows%, es una variable que por defecto es C:\Windows para Windows 95/98/Me/XP y C:\Winnt para  NT/2000.

Opaserv.H se propaga en las unidades que comparten la unidad C:\ y se autocopia al directorio %Windows% con el nombre de MSTASK.EXE, e igualmente lo sobre-escribe en %Windows%\win.ini y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Mstask = “%Windows%\MSTASK.EXE”

Opaserv.I se propaga en las unidades que comparten la unidad C:\ y se autocopia al directorio %Windows% con el nombre de MQBKUP.EXE, e igualmente lo sobre-escribe en %Windows%\win.ini y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Mqbkup = “%Windows%\MQBKUP.EXE”

El gusano se activa en fechas igual o posteriores al 24 de Diciembre de 2002 y muestra un mensaje dentro de una ventana de MS-DOS y a continuación borra el contenido de la CMOS y del disco duro:

Opaserv.J (algunos antivirus lo nombran como Opaserv L/M/N), reportado a partir del  27 de Diciembre del 2002,  se propaga en las unidades que comparten la unidad C:\ y se autocopia al directorio %Windows% con el nombre de MSTASK.EXE, e igualmente lo sobre-escribe en %Windows%\win.ini y para ejecutarse la próxima vez que se inicie el sistema crea la siguiente llave de registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Mstask = “%Windows%\MSTASK.EXE”

También infecta a través de las unidades compartidas de C:\ buscando los equipos que tengan completo acceso a la red, para lo cual aprovecha la vulnerabilidad de Share Level Password de Windows. 

El parche de seguridad para esta vulnerabilidad debe ser descargado a la brevedad posible desde:

http://www.microsoft.com/technet/security/bulletin/ms00-072.asp

Del mismo modo, muestra el mismo mensaje del Opaserv.I y re-inicia el sistema.

El único cambio del mensaje es el número telefónico.

PER ANTIVIRUS® versión 7.8 con registro de virus al 30 de Diciembre del 2002 detecta y elimina eficientemente este gusano y todas sus variantes existentes y por crearse.