Лента.Ру, 3 октября
В интернете зафиксирована эпидемия сетевого червя Opasoft, сообщает сайт "Лаборатории Касперского". Указанный вирус прочно обосновался в тройке наиболее распространенных вредоносных программ и вызвал многочисленные инциденты во многих странах мира, среди которых оказалась и Россия.
По состоянию на 3 октября доля обращений в службу технической поддержки "Лаборатории Касперского", вызванных действием Opasoft достигла 40 процентов. Таким образом, по количеству поврежденных данных этот вирус обогнал такие опасные программы как Klez и Tanatos.
Особенностью Opasoft является механизм его распространения по интернету. Червь сканирует глобальную сеть и находит работающие под управлением Windows 95/98/ME компьютеры с открытым доступом к диску C.
Затем вирус перебирает пароли доступа к этому ресурсу и в случае успеха загружает на компьютер свою копию. В процессе поиска и заражения компьютеров Opasoft использует коммуникационные порты (порт 137 и 139), применяемые в Windows-сетях для обмена информацией. То, что эти порты по умолчанию открыты для хакерских атак, наряду с недостаточной внимательностью многих пользователей и системных администраторов в части предоставления права доступа к ресурсам своих компьютеров и определило широкое распространение Opasoft.
Для предотвращения возможного проникновения Opasoft "Лаборатория Касперского" рекомендует провести следующие действия. Домашним пользователям необходимо проверить, запущена ли на компьютере служба распределенного использования файлов и принтера. Для этого достаточно щелкнуть правой клавишей мыши на иконке "Сетевое окружение" (Network Neighborhood), выбрать пункт "Свойства" (Properties) и нажать на кнопку "Доступ к файлам и принтерам" (File and Print Sharing). Открывшееся окно покажет текущее состояние службы и, если доступ к ресурсам компьютера был установлен ошибочно, это можно исправить. В случае, если доступ к диску C был открыт намеренно, необходимо удостовериться, что он защищен паролем длиной не меньше двух символов.
Системным администраторам рекомендуется запретить доступ к портам 137 и 139 с компьютеров, расположенных вне локальной сети. У всех компьютеров, которым необходимо обмениваться данными по этим портам с внешними сетями, важно проверить список общих ресурсов и, по возможности, защитить их паролем.
Интернет-провайдерам также рекомендуется закрыть порты 137 и 139 своих клиентов и открывать их только по требованию, в случае выполнения специфических задач.
"Лаборатория Касперского" обращает внимание на то, что Opasoft заражает компьютеры только под управлением Windows 95/98/ME, так что для компьютеров с другими операционными системами, например, Windows 2000 или Windows XP описанная профилактика не требуется. Подробно ознакомиться с обновленным техническим описанием сетевого вируса Opasoft можно в Вирусной Энциклопедии Касперского.
-----
Worm.Win32.Opasoft Источник: http://www.viruslist.com/viruslist.html?id=1143777
Вирус-червь со встроенной троянской программой типа "бекдор". Распространяется по локальным и глобальным сетям используя протокол NETBIOS, предоставляемый MS Windows. Является приложением Windows (PE EXE-файл), имеет размер около 28K.
Инсталляция
При запуске копирует себя в каталог Windows c именем "scrsvr.exe" и регистрирует этот файл в команде автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run ScrSvr = %worm name%
Затем червь удаляет свой первоначальный файл, из которого был запущен.
Распространение
Для того, чтобы найти компьютеры-жертвы червь сканирует подсети по порту 137 (NETBIOS Name Service). Сканируются IP-адреса следующих сетей:
· подсеть текущего (зараженного) компьютера (aa.bb.cc.??) · две ближайшие подсети текущего компьютера (aa.bb.cc+1.?? , aa.bb.cc-1.??) · случайно выбранную подсеть (за исключением некоторых "запрещенных" к сканированию сетей)
Если при сканировании случайной подсети какой-либо IP-адрес "отзывается" (т.е. такой адрес соответствует реальному компьютеру), то червь также сканирует две ближайшие подсети данного IP-адреса.
Если со сканируемого IP-адреса приходит "ответ", то червь проверяет в нем определенне поле. Если там указано, что на данном компьютере запущена служба распределенного использования файлов и принтера (File and Print Sharing), то червь запускает процедуру заражения этого компьютера (удаленного хоста).
При заражении червь посылает по 139-му порту (NETBIOS Session Service) SMB-пакеты специального вида. В этих пакетах передаются следующие команды:
1. Устанавливается соединение с ресурсом \\hostname\C (где "hostname" - имя компьютера-жертвы, которое определяется по "ответу" с него при сканировании) 2. Если ресурс закрыт паролем, то червь перебирает все односимвольные пароли. 3. При успешном соединении с ресурсом червь передает на него свой EXE-файл, при этом в команде указывается полное имя файла, в который EXE-файл будет сохранен - WINDOWS\scrsvr.exe 4. Затем червь считывает с компьютера-жертвы файл WINDOWS\win.ini и записывает его на локальный диск под именем C:\TMP.INI 5. В этот INI-файл записывается команда авто-запуска червя (команда "run=" в секции [windows]) и результат передается обратно на компьютер-жертву.
В результате приема-передачи этих пакетов на удаленном компьютере появляются два файла:
\WINDOWS\scrsvr.exe - копия червя \WINDOWS\win.ini - INI-файл Windows с командой авто-запуска червя.
В результате при очередном рестарте компьютера червь получает управление.
Бекдор
Бекдор-троянец открывает Web-сайт www.opasoft.com file и выполняет следующие действия:
· скачивает и запускает свою новую версию (если таковая там присутствует) · скачивает и выполняет специальные скрипт-файлы
Новая версия червя скачивается в файл "scrupd.exe", который потом запускается на выполнение и замещает текущую версию червя.
При работе бекдор-процедура использует два свои файла данных: "ScrSin.dat" и "ScrSout.dat". Эти файлы зашифрованы сильным крипто-алгоритмом.
Поскольку сервер www.opasoft.com более недоступен, то дальнейшая информация о действиях данной бекдор-процедуры отсутствует.
Технические детали
Для того, чтобы исключить повторный запуск своих копий червь создает Windows mutex с именем "ScrSvr31415".
Заражению подвергаются компьютеры с установленной MS Windows 9x. Возможность заражения NT-систем не подтверждена. |