Italia
 Siti Globali
Prodotti
Acquisto
Servizio e Supporto
Partner
Security Response
Downloads
Informazioni sulla Symantec
Ricerca
Feedback


©1995-2009 Symantec Corporation.
All rights reserved.

Legal Notices
Privacy Policy
aggiornamenti di sicurezza

W32.Opaserv.Worm

Categoria 2
Scoperto in data: 30/09/2002
Ultimo aggiornamento in data: 26/10/2004


NOTA: in data 30 settembre 2002, a causa dell'aumento di casi riportati relativi a questo worm, il Symantec Security Response ha modificato il livello di gravità di W32.Opaserv.Worm, portandolo da livello 2 a livello 3.

W32.Opaserv.Worm ha la capacità di riconoscere la presenza di un ambiente di rete e tenta di riprodursi attraverso condivisioni di rete aperte. Si replica sul computer remoto sotto forma di file dal nome Scrsvr.exe e cerca di scaricare aggiornamenti dal sito www.opasoft.com, anche se tale sito è già stato chiuso. Sintomi dell’infezione possono essere:

  • La presenza dei file Scrsin.dat e Scrsout.dat sulla directory principale dell’unità C. Ciò denota una infezione in locale (vale a dire: il worm è stato eseguito sulla macchina in uso).
  • La presenza del file Tmp.ini sulla directory principale dell’unità C. Ciò denota una infezione da remoto (vale a dire: la macchina è stata infettata da un host remoto).
  • La presenza all’interno della chiave di registro HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run del valore ScrSvr oppure ScrSvrOld impostato su c:\tmp.ini.

NOTA: Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet (come DSL o modem via cavo) è necessario scollegare il computer dalla rete e da Internet, prima di tentare di rimuovere il worm. I file e le cartelle condivise devono essere disattivati. Al termine del processo di rimozione, se si desidera riattivare la condivisione di file è consigliabile non condividere la radice dell’unità C, scegliendo invece determinate cartelle. Queste condivisioni devono essere protette con una password sicura. Non lasciare il campo password vuoto.

Prima di eseguire questa operazione, se il proprio sistema operativo è Windows 95/98/Me, è inoltre necessario scaricare ed installare la patch di Microsoft dal sito

http://www.microsoft.com/technet/security/bulletin/MS00-072.asp		  

Noto anche come: W32/Opaserv.worm [McAfee], W32/Opaserv-A [Sophos], Win32.Opaserv [CA], WORM_OPASOFT.A [Trend], Worm.Win32.Opasoft [AVP]
Tipo: worm
Lunghezza dell’infezione: 28.672 byte
Sistemi operativi minacciati: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Sistemi operativi non minacciati: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux
Riferimenti CVE: CVE-2000-0979

protezione
  • Definizioni dei virus (LiveUpdate™ Weekly)

    • 30/09/2002
  • Definizioni dei virus (Intelligent Updater)

    • 30/09/2002

    valutazione della minaccia

    Wild

    Grafico della minaccia
    Bassa Bassa Media

    Wild:
    Bassa

    Danno:
    Bassa

    Distribuzione:
    Media

    Distribuzione

    informazioni tecniche

    Quando è in esecuzione, W32.Opaserv.Worm esegue le seguenti operazioni:

    Cerca il valore

    ScrSvrOld

    nella seguente chiave di registro

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Se tale valore esiste, il worm elimina il file a cui ScrSvrOld è collegato.

    Se ScrSvrOld non esiste, il worm determina se il valore

    ScrSvr

    è presente all’interno della seguente chiave di registro

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Se tale valore non esiste, W32.Opaserv.Worm aggiunge il valore

    ScrSvr %windir%\ScrSvr.exe

    alla chiave di registro in questione.

    Successivamente controlla se il valore viene eseguito come file %windir%\ScrSvr.exe. In caso negativo, si replica su quel file e aggiunge il valore

    ScrSvrOld  <nome originale del worm>

    alla chiave di registro

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    NOTA: %windir% è una variabile. Il worm individua la cartella di installazione di Windows (che per impostazione predefinita si trova sul percorso C:\Windows oppure C:\Winnt) e la utilizza come cartella di destinazione.

    Dopo avere controllato i valori di registro e il percorso da cui viene eseguito, W32.Opaserv.Worm verifica che una sola copia del worm stesso sia in esecuzione in memoria, creando un mutex dal nome ScrSvr31415.

    Se non è già in esecuzione, il worm si registra come processo in Windows 95/98/Me. In Windows NT/2000/XP, aumenta la priorità del proprio processo.

    A questo punto il worm cataloga tutte le condivisioni di rete di "C\", e per ogni condivisione trovata si riproduce su C\Windows\Scrsvr.exe.

    W32.Opaserv.Worm sfrutta una vulnerabilità nella sicurezza di Microsoft Windows 95/98/Me. Invia password composte da un solo carattere alle condivisioni di rete, e accede così ai file condivisi di Windows 95/98/Me anche senza conoscerne le password complete. I sistemi operativi vulnerabili da questo punto di vista sono:

    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Seconda Edizione
    • Microsoft Windows Me

    All’indirizzo http://www.microsoft.com/technet/security/bulletin/MS00-072.asp è disponibile una patch sviluppata appositamente per tali sistemi operativi.

    Il worm viene eseguito a ogni avvio di Windows, su computer con Windows 95/98/Me, perché W32.Opaserv.Worm modifica la sezione [windows] del file C:\Windows\Win.ini aggiungendo la riga di comando

    run= c:\ScrSvr.exe

    NOTE:
    • Prima di replicarsi come file %windir%\ScrSvr.exe, W32.Opaserv.Worm modifica il file C:\Windows\Win.ini. E’ per questo che gli antivirus Symantec sono in grado di rilevare ed eliminare %windir%\ScrSvr.exe solo dopo che il sistema è stato alterato, e non prima. E’ possibile quindi che al ravvio del computer venga visualizzato un messaggio indicante ScrSvr.exe non trovato. Per risolvere il problema, eliminare la riga di comando aggiunta dal worm.
    • A quanto sembra, il worm è codificato in modo da aggiungere al file Win.ini la seguente riga:

      run= c:\tmp.ini

      Nei casi esaminati di infezione o individuazione del worm, tuttavia, risulta che questo aggiunge la riga run= c:\ScrSvr.exe.



    Crea inoltre il file C:\Tmp.ini, contenente quanto segue

    run= c:\windows\scrsvr.exe

    Apparentemente W32.Opaserv.Worm è anche in grado di aggiornarsi leggendo file da un sito Internet il cui URL è contenuto nello script del worm stesso. Esso tenta inoltre di scaricare un aggiornamento chiamato Scrupd.exe.

    recommendations

    Il Symantec Security Response raccomanda a tutti gli utenti informatici e amministratori di rete di attenersi alle seguenti linee guida elementari, basate sulle migliori pratiche di sicurezza.

    • Disattivare e rimuovere qualsiasi servizio non necessario. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono strettamente necessari al sistema stesso, quali client FTP, telnet e server Web. Tali servizi possono servire da accesso per eventuali attacchi. Se rimossi, le minacce composite dispongono di un numero inferiore di possibilità di accesso al sistema e al tempo stesso l’utente dispone di un numero inferiore di servizi da mantenere tramite moduli di aggiornamento.
    • Se una minaccia composita si avvale di uno o più servizi di rete è consigliabile disattivare o impedire l’accesso a tali servizi, fino a quando non venga applicato un modulo di aggiornamento.
    • Accertarsi di applicare sempre sul proprio sistema i moduli di aggiornamento più recenti, in particolare se si opera su macchine che mantengono servizi pubblici e cui è possibile accedere tramite firewall, quali http, FTP, posta elettronica e servizi DNS.
    • Imporre una politica severa sull’uso delle password. Password complesse rendono più difficoltoso l’accesso a file protetti su computer minacciati da un accesso illecito. In tal modo, anche in caso di computer attaccato illecitamente, i danni incorsi sono notevolmente limitati, se non del tutto prevenuti.
    • Configurare il proprio server di posta elettronica in modo che blocchi o elimini i messaggi contenenti file in allegato le cui estensioni vengono comunemente utilizzate per diffondere virus. Ad esempio: .vbs, .bat, .exe, .pif e .scr.
    • Isolare in tutta rapidità le macchine infette, per evitare la diffusione del danno ad altre macchine all’interno della propria organizzazione. Eseguire un’analisi approfondita e ripristinare le macchine mediante dispositivi fidati.
    • Operare una formazione del personale, istruendo i propri dipendenti a non aprire allegati se non si era a conoscenza del fatto che l’allegato in questione sarebbe stato inviato. Inoltre, non eseguire programmi scaricati da Internet senza prima operare una scansione antivirus. Anche semplicemente visitare un sito Internet compromesso può significare contrarre un’infezione, se non sono stati applicati moduli di aggiornamento appositi per determinate vulnerabilità del browser.
    istruzioni sulla rimozione

    IMPORTANTE -- LEGGERE ATTENTAMENTE PRIMA DI PROSEGUIRE:
    • W32.Opaserv.Worm sfrutta una vulnerabilità nella sicurezza di Microsoft Windows 95/98/Me. Invia password composte da un solo carattere alle condivisioni di rete, e accede così ai file condivisi di Windows 95/98/Me anche senza conoscerne le password complete. I sistemi operativi vulnerabili da questo punto di vista sono Windows 95, 98 e Me.

      All’indirizzo http://www.microsoft.com/technet/security/bulletin/MS00-072.asp è disponibile una patch sviluppata appositamente per tali sistemi operativi. Se non lo si è ancora fatto è necessario installare la patch, per evitare nuove infezioni.
    • Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet (come DSL o modem via cavo) è necessario scollegare la macchina dalla rete e da Internet. Prima di collegare nuovamente i computer alla rete o a Internet, disattivare la condivisione di file. W32.Opaserv.Worm si propaga tramite cartelle condivise su computer collegati in rete. Per evitare che l’infezione si diffonda nuovamente dopo essere stata rimossa è necessario eliminare tutte le condivisioni di file, disinfettare tutti i computer che fanno parte della rete, eseguire le patch su tutti i sistemi e aggiornare le definizioni su ogni computer prima di ricollegarli alla rete o attivare nuovamente la condivisione di file.
    • Per istruzioni in merito consultare la propria documentazione di Windows oppure il documento Come configurare le cartelle condivise di Windows affinché la rete sia protetta al meglio.
    • Prima di eliminare un’infezione da un ambiente di rete accertarsi che le condivisioni di rete siano disattivate o accessibili in sola lettura.


    Rimozione tramite lo Strumento di rimozione per W32.Opaserv.Worm
    Questa è la modalità di rimozione più semplice: Il Symantec Security Response ha sviluppato uno Strumento di rimozione per W32.Opaserv.Worm. Fare clic qui per scaricarlo.
     
    Rimozione manuale
    In alternativa all’utilizzo dello strumento di rimozione è anche possibile operare una rimozione manuale. I principali passaggi sono riportati qui di seguito:
    1. Se si è connessi a una rete, scollegarsi.
    2. Aggiornare le definizioni dei virus.
    3. Operare una scansione completa del sistema ed eliminare tutti i file rilevati con il nome di W32.Opaserv.Worm.
    4. Eliminare i valori

      ScrSvr %windir%\ScrSvr.exe

      e

      ScrSvrOld <nome originale del worm>

      dalla chiave di registro

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    5. (Esclusivamente per Windows 95/98/Me) Eliminare la riga di comando

      run= c:\ScrSvr.exe

      oppure

      run= c:\tmp.ini

      dal file C:\Windows\Win.ini.
    Proseguire nella lettura per ottenere istruzioni dettagliate su come procedere.

    Come scollegarsi dalla rete:
    Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet (come DSL o modem via cavo) scollegare la macchina dalla rete e da Internet. Prima di collegare nuovamente i computer alla rete o a Internet, disattivare la condivisione di file oppure proteggere con password i file condivisi. W32.Opaserv.Worm si propaga tramite cartelle condivise su computer collegati in rete. Per evitare che l’infezione si diffonda nuovamente dopo essere stata rimossa è consigliabile rendere i file o le cartelle condivisi accessibili in sola lettura oppure proteggerli con password.

    IMPORTANTE:
    • Non saltare questo passaggio. Prima di cominciare la rimozione del worm è necessario scollegarsi dalla rete.
    • Per istruzioni in merito consultare la propria documentazione di Windows oppure il documento Come configurare le cartelle condivise di Windows affinché la rete sia protetta al meglio.
    • Al termine del processo di rimozione, se si desidera riattivare la condivisione di file è consigliabile non condividere la radice dell’unità C, scegliendo invece determinate cartelle. Queste condivisioni devono essere protette con una password sicura. Non lasciare il campo password vuoto.

      Prima di eseguire questa operazione, se il proprio sistema operativo è Windows 95/98/Me, è inoltre necessario scaricare ed installare la patch di Microsoft dal sito

    • http://www.microsoft.com/technet/security/bulletin/MS00-072.asp



    Come aggiornare le definizioni dei virus:
    Tutte le definizioni dei virus vengono accuratamente testate e sottoposte a controlli di qualità da parte del Symantec Security Response prima di essere rese disponibili sui server. Esistono due modi per ottenere le definizioni dei virus più aggiornate:
    • Il metodo più semplice è tramite LiveUpdate. Le definizioni dei virus per LiveUpdate vengono pubblicate sui server di LiveUpdate una volta la settimana (normalmente di mercoledì), salvo il caso di epidemie virali di particolare rilevanza. Per verificare se esistono delle definizioni di LiveUpdate disponibili per combattere questa minaccia controllare la riga Definizioni dei virus (LiveUpdate) che si trova in cima al presente documento.
    • Scaricare le definizioni mediante Intelligent Updater. Le definizioni dei virus per Intelligent Updater vengono pubblicate quotidianamente, nei giorni lavorativi statunitensi (dal lunedì al venerdì). Devono essere scaricate e installate manualmente, dal sito Internet del Symantec Security Response. Per verificare se esistono delle definizioni di Intelligent Updater disponibili per combattere questa minaccia controllare la riga Definizioni dei virus (Intelligent Updater) che si trova in cima al presente documento.

      Per ottenere le definizioni dei virus di Intelligent Updater, fare clic qui. Per istruzioni dettagliate su come scaricare e installare le definizioni di Intelligent Updater dal sito Internet del Symantec Security Response, fare clic qui.

    Come operare una scansione alla ricerca di virus ed eliminare i file infetti:
    1. Avviare il proprio antivirus Symantec e accertarsi che sia configurato in modo da sottoporre a scansione tutti i file.
    2. Eseguire una scansione completa del sistema.
    3. Se vengono rilevati file infetti da W32.Opaserv.Worm, eliminarli.

    Come eliminare il valore aggiunto dal worm al registro di configurazione:

    ATTENZIONE: prima di modificare il registro Symantec raccomanda di eseguirne una copia di backup. Modifiche errate al Registro di sistema possono provocare perdite di dati e danni ai file irreversibili. Modificare unicamente le chiavi specificate. A questo proposito consultare il documento Come eseguire il backup del Registro di sistema di Windows.
    1. Fare clic su Start, quindi su Esegui. Viene visualizzata la finestra di dialogo Esegui.
    2. Digitare regedit quindi fare clic su OK. Si apre l'Editor del Registro di sistema.
    3. Accedere alla chiave:

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    4. Eliminare i seguente valori nel riquadro a destra:

      ScrSvr %windir%\ScrSvr.exe

      ScrSvrOld <nome originale del worm>
    5. Uscire dall'Editor del Registro di sistema.

    Come eliminare la riga aggiunta dal worm al file Win.ini:
    Questa operazione è necessaria solo su computer basati su sistema operativo Windows 95/98/Me.

    NOTA: (solo per utenti di Windows Me) a causa della funzione protezione file esistente in Windows Me, nella cartella C:\Windows\Recenti esiste una copia di backup del file che si sta per modificare. Si consiglia di eliminare la copia di backup prima di procedere ai passaggi seguenti. E’ possibile farlo in Esplora risorse: accedere a C:\Windows\Recenti, selezionare il file Win.ini nel riquadro di destra ed eliminarlo. Quando vengono salvati i cambiamenti a Win.ini, operati come da istruzioni seguenti, il file appena eliminato verrà ricreato come copia di backup della nuova versione di Win.ini.
    1. Fare clic su Start, quindi su Esegui.
    2. Digitare quanto segue, quindi fare clic su OK.

      edit c:\windows\win.ini

      Si apre così l'Editor di MS-DOS.

      NOTA: se Windows è stato installato su un percorso diverso, effettuare la sostituzione di percorso appropriata.
    3. Nella sezione [windows] del file, cercare una voce che sia simile a una o a entrambe delle voci seguenti:

      run= c:\ScrSvr.exe

      run= c:\tmp.ini
    4. Selezionare l’intera riga. Accertarsi di non avere selezionato alcuna altra riga del file, quindi premere Canc.
    5. Fare clic su File e poi su Salva.
    6. Fare clic su File e poi su Esci.


    NOTA: in numerosi casi documentati, le infezioni causate da questo worm sono portatrici anche di altre infezioni (che trasmettono al computer), poiché il worm stesso ha contratto un'infezione. Per tale ragione, si consiglia di eseguire una scansione dell'intero sistema dopo avere rimosso W32.Opaserv.Worm. Se vengono rilevati file infetti da altri codici nocivi, accedere al
    http://securityresponse.symantec.com/avcenter/vinfodb.html, immettere il nome della minaccia rilevata nel campo appropriato, e fare clic su search. Se viene trovato un documento, aprirlo e seguire le istruzioni per la rimozione.

    Informazioni aggiuntive:

    Se si lavora in ambiente di rete o si dispone di una connessione sempre aperta a Internet (come DSL o modem via cavo) o se si lascia spesso una connessione remota aperta per lunghi periodi, si consiglia vivamente di installare un firewall per aumentare il livello di protezione. Per informazioni sui prodotti firewall Symantec, accedere al sito:

    http://www.symantec.it/region/it/product/index.html

    Revisioni:

    30/9/2002 Livello di pericolosità della minaccia incrementato da Categoria 2 a 3, a causa dell'aumento del numero di richieste di assistenza ricevute.


    Versione del documento in inglese

    Fare clic qui per visualizzare la versione inglese di questo documento

    NOTA: a causa del tempo richiesto per portare a termine la traduzione di un documento in altre lingue, il contenuto delle versioni tradotte potrebbe differire da quello del documento originale in lingua inglese. Ciò si verifica quando il documento inglese viene aggiornato durante il processo di traduzione. Si prega di notare che il documento in lingua inglese contiene sempre le informazioni più aggiornate.


    Documento realizzato da: Douglas Knowles & Peter Ferrie