W32.Opaserv.Worm

別名： W32/Opaserv.worm [McAfee], W32/Opaserv-A [Sophos], Win32.Opaserv [CA], WORM_OPASOFT.A [Trend], Worm.Win32.Opasoft [AVP]

類型: Worm

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

CVE 參考： CVE-2000-0979

注意：由於提交率的提高，賽門鐵克安全響應中心自 2002 年 9月 30 日起將此威脅級別從 2 類升級為 3 類。

W32.Opaserv.Worm 是一種具有網絡意識的蠕蟲。它會通過開放的網絡共享傳播。它將自己以 Scrsvr.exe 文件的方式複製到遠端電腦，然後嘗試從可能已經關閉的 www.opasoft.com 網站下載更新。感染的徵兆如下∶

* 在 C 盤根目錄出現文件 Scrsin.dat 和 Scrsout.dat。這意味着蠕蟲已在本機上執行。

* 在 C 盤根目錄出現文件 Tmp.ini。這意味本機被遠端的計算機感染。

* 註冊表鍵 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run 包含字符串 ScrSvr 或 ScrSvrOld，這個值被設定至 c:\tmp.ini.

如果您的計算機在一個網絡中，通過 DSL、Cable 或 撥號網絡與 Internet 長時間連接，我們強烈建議您使用防火牆軟件。有關賽門鐵克的防火牆軟件產品，請到下列網址選購：

www.symantec.com/region/cn/product/

防護

* 病毒定義（每週 LiveUpdate™） 2002 年 9 月 30 日

* 病毒定義（智能更新程序） 2002 年 9 月 30 日

威脅評估

廣度

* 廣度級別： Low

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分佈： High

* 威脅抑制： Moderate

* 清除： Moderate

損壞

* 損壞級別： Low

分發

* 分發級別： Medium

* 共享驅動器： Attempts to spread to non-password protected shares

當W32.Opaserv.Worm 執行時，它進行如下操作:

它在註冊表鍵

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

檢查值

ScrSvrOld

如果該值存在，蠕蟲會刪除 ScrSvrOld 指向的文件。

如果 ScrSvrOld 不存在，則蠕蟲會結束執行，不論 ScrSvr 是否存在

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 鍵中。

如果該值不存在，蠕蟲在註冊表鍵中加入

ScrSvr %windir%\ScrSvr.exe

然後它會檢查該值是否以 %windir%\ScrSvr.exe 文件的形式執行。如果沒有，則將自己複製到該文件中並在該註冊表鍵中加入下列值∶

ScrSvrOld <最初病蟲名稱>

注意：%windir% 是一個變量。蠕蟲會找到 \Windows 文件夾（默認位置是 C:\Windows 或 C:\Winnt），然後將自身複製到該位置。

當蠕蟲檢查完註冊表鍵以及病蟲執行的位置時，它會建立一個名 ScrSvr31415 為 Mutex 以確定是否正在執行。

如果蠕蟲尚未執行，則它會將自己登錄為 Windows 95/98/Me 下的程序。在 Windows NT/2000/XP 下則會進一步提升病毒程序的優先權。然後蠕蟲會查尋所有“C\” 網絡共享目錄並將自己複製到找到目錄的 C\Windows\Crsvr.exe。

運行 Windows 95/98/Me 的計算機每次都會在 Windows 啓動時運行病蟲。它會在 C:\Windows\Win.ini 加入下列行

run= c:\windows\scrsvr.exe

注意：

蠕蟲會在將自身複製為 %windir%\ScrSvr.exe 之前修改 C:\Windows\Win.ini。因此， 計算機重啓時，一個信息會顯示説找不到 ScrSvr.exe。將病蟲加入的行刪除可以解決這個問題。

蠕蟲代碼顯示它會在 Win.int 中加入：run= c:\tmp.ini

但在實際傳染中，病蟲加入的是 run= c:\ScrSvr.exe.

同時建立 C:\Tmp.ini，內含如下內容

run= c:\windows\scrsvr.exe

該病蟲似乎可以藉由自身存儲的 URL 到一個網站獲取更新。它還會試着下載 一個名為 Scrupd.exe 的更新文件。

建議

賽門鐵克安全響應中心建議所有用户和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多操作系統會安裝不必要的輔助服務，如 FTP 服務器、telnet 和 Web 服務器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程序更新即可完成。

* 如果混合型威脅攻擊了一個或多個網絡服務，則在應用補丁程序之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程序，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公佈的安全更新，也要及時應用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼文件難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件服務器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附件的郵件，這些文件常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附件。 並且只在進行病毒掃描後才執行從互聯網下載的軟件。如果未對某些瀏覽器漏洞應用補丁程序，那麼訪問受感染的網站也會造成病毒感染。

重要信息：

* 該蠕蟲利用了Microsoft Windows 95/98/Me 的一個安全漏洞。它發送單個字符的密碼來進入 Windows 95/98/Me 的共享資料夾，而不需要知道為資料夾設置的完整密碼。為避免再次感染，請到下列鏈接下載並安裝補丁程序：

http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

* 移除蠕蟲前請先斷開計算機與 Internet 的連接。在重新連入網絡前，請先關閉或使用密碼保護共享文件夾，或設置共享文件夾為“只讀”。更多信息請參照 How to configure shared Windows folders for maximum network protection。

* 從網絡中清除蠕蟲前，確認每個共享資料夾已關閉或設為“只讀”。

使用W32.Opaserv.Worm 殺毒工具清除

這是最簡便的清毒方法。賽門鐵克安全響應已經開發出W32.Opaserv.Worm 殺毒工具。單擊這裏獲取該工具。

手動清除

作為使用殺毒工具的替代手段，您也可以手動清除病毒：

1. 斷開與網絡的連接。

2. 更新病毒定義。

3. 運行完整的系統掃描，並刪除所有被檢測為 W32.Opaserv.Worm的文件。

4. 從註冊表鍵

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

5. 刪除下列值

ScrSvr %windir%\ScrSvr.exe 和 ScrSvrOld <最初蠕蟲名稱> （僅適用於 Windows 95/98/Me）

6. 從 C:\Windows\Win.ini. 刪除行

run= c:\tmp.ini

7. 有關如何完成此操作的詳細信息，請參閲下列指導。

8.

斷開與網絡的連接

如果你的計算機在網絡中，或者通過 DSL 或 Cable 與 Internet 全天相連，您需要斷開與它們的連接。在計算機與網絡或 Internet 重新連接之前，請禁用或用密碼保護文件共享。因為此蠕蟲是通過共享文件夾在網絡計算機上傳播的，為確保蠕蟲被刪除後不再感染計算機，賽門鐵克建議用只讀訪問或使用密碼保護文件共享。有關如何進行該操作的指導，請參閲 Windows 文檔或文檔 如何配置共享 Windows 文件夾儘可能的保護網絡。

要點：請不要跳過此步驟。試圖刪除此蠕蟲之前，必須斷開網絡連接。

更新病毒定義：

所有的病毒定義在公佈到服務器之前都經過賽門鐵克安全響應中心的嚴格檢測。您可以通過下列兩種方式來獲取最新病毒定義：

* 運行 LiveUpdate，這是獲得病毒定義最簡便的方法。這些病毒定義通常每星期一次（星期三）更新到 LiveUpdate 服務器上，當有重要疫情發生時則例外。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義，請見本説明頂部的病毒定義 (LiveUpdate) 行。

* 使用“智能更新程序”下載病毒定義。會在工作日（週一至週五，美國時間）發佈。必須從 Symantec 安全響應中心 Web 站點下載病毒定義，並手動進行安裝。要確定是否可以通過“智能更新程序”獲得解決該威脅的病毒定義，請見本説明頂部的病毒定義（智能更新程序）行。

病毒定義更新安裝程序病毒定義可從這裏獲得。若要了解如何從賽門鐵克安全響應中心下載和安裝 Intelligent UpdaterTM 病毒定義，請單擊這裏。

掃描和刪除受感染文件：

1. 啓動 Symantec 防病毒程序，並確保已將其配置為掃描所有文件。

* Norton AntiVirus 單機版產品：請閲讀文檔：如何配置 Norton AntiVirus 以掃描所有文件。

* 賽門鐵克企業版防病毒產品：請閲讀“如何確定 Symantec 企業版防病毒產品被設置為掃描所有文件”。

2. 運行完整的系統掃描。

3. 如果有任何文件被檢測為感染了 W32.Opaserv.Worm，請單擊“刪除”。

從註冊表刪除蠕蟲加入的值：

警告：賽門鐵克強烈建議在更改註冊表之前先進行備份。如果對註冊表進行了不正確的更改，可能導致永久性數據丟失或文件損壞。請僅修改指定的鍵。有關指導，請參閲文檔：如何備份 Windows 註冊表。

1. 單擊“開始”，然後單擊“運行”。出現“運行”對話框。

2. 鍵入 regedit，然後單擊“確定”。將打開“註冊表編輯器”。

3. 瀏覽到以下鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. 在右窗格中，刪除下列內容：

ScrSvr %windir%\ScrSvr.exe

ScrSvrOld <最初蠕蟲名稱>

5. 退出“註冊表編輯器”。

刪除蠕蟲加入到 Win.ini 的值：

只有安裝 Windows 95/98/Me 的電腦才需要進行該操作。

注意：（僅適用於 Windows Me 用户）由於 Windows Me 具有文件防護功能，因此 C:\Windows\Recent 文件夾中存在要編輯文件的一個備份副本。Symantec 建議在繼續下一部分中的操作之前刪除此文件。要使用 Windows 資源管理器完成此操作，請轉至 C:\Windows\Recent，然後在右窗格中選中 Win.ini 文件並將其刪除。將更改保存到要編輯的文件時，會重新生成此文件的一個副本。

1. 單擊“開始”，然後單擊“運行”。

2. 鍵入以下內容，然後單擊“確定”：

edit c:\windows\win.ini

3. 將打開 MS-DOS Editor。

注意：如果 Windows 安裝在其它位置，請用相應的路徑代替。

在文件的 [windows] 部分，查找與下列顯示相似的項：

run= c:\tmp.ini

4. 選擇整個行。確認你沒有選擇文件中其它內容後，按 Delete。

5. 單擊 File，然後單擊 Save。

6. 單擊 File，然後單擊 Exit。

注意：有些感染案例顯示 該蠕蟲會在感染其它病蟲後一起傳染到一台計算機上。鑑於此，建議您在清除 W32.Opaserv.Worm 之後 運行全面系統掃描。如果顯示有任何文件有感染跡象，請到 http://securityresponse.symantec.com/avcenter/vinfodb.html 搜索有關信息後依照説明清除病毒。

賽門鐵克中國安全響應中心收錄所有三級及三級以上病毒、病毒清除工具的中文翻譯。

描述者： Douglas Knowles