Лента.Ру, 3 октября

В интернете зафиксирована эпидемия сетевого червя Opasoft, сообщает сайт "Лаборатории Касперского". Указанный вирус прочно обосновался в тройке наиболее распространенных вредоносных программ и вызвал многочисленные инциденты во многих странах мира, среди которых оказалась и Россия.

По состоянию на 3 октября доля обращений в службу технической поддержки "Лаборатории Касперского", вызванных действием Opasoft достигла 40 процентов. Таким образом, по количеству поврежденных данных этот вирус обогнал такие опасные программы как Klez и Tanatos.

Особенностью Opasoft является механизм его распространения по интернету. Червь сканирует глобальную сеть и находит работающие под управлением Windows 95/98/ME компьютеры с открытым доступом к диску C.

Затем вирус перебирает пароли доступа к этому ресурсу и в случае успеха загружает на компьютер свою копию. В процессе поиска и заражения компьютеров Opasoft использует коммуникационные порты (порт 137 и 139), применяемые в Windows-сетях для обмена информацией. То, что эти порты по умолчанию открыты для хакерских атак, наряду с недостаточной внимательностью многих пользователей и системных администраторов в части предоставления права доступа к ресурсам своих компьютеров и определило широкое распространение Opasoft.

Для предотвращения возможного проникновения Opasoft "Лаборатория Касперского" рекомендует провести следующие действия. Домашним пользователям необходимо проверить, запущена ли на компьютере служба распределенного использования файлов и принтера. Для этого достаточно щелкнуть правой клавишей мыши на иконке "Сетевое окружение" (Network Neighborhood), выбрать пункт "Свойства" (Properties) и нажать на кнопку "Доступ к файлам и принтерам" (File and Print Sharing). Открывшееся окно покажет текущее состояние службы и, если доступ к ресурсам компьютера был установлен ошибочно, это можно исправить. В случае, если доступ к диску C был открыт намеренно, необходимо удостовериться, что он защищен паролем длиной не меньше двух символов.

Системным администраторам рекомендуется запретить доступ к портам 137 и 139 с компьютеров, расположенных вне локальной сети. У всех компьютеров, которым необходимо обмениваться данными по этим портам с внешними сетями, важно проверить список общих ресурсов и, по возможности, защитить их паролем.

Интернет-провайдерам также рекомендуется закрыть порты 137 и 139 своих клиентов и открывать их только по требованию, в случае выполнения специфических задач.

"Лаборатория Касперского" обращает внимание на то, что Opasoft заражает компьютеры только под управлением Windows 95/98/ME, так что для компьютеров с другими операционными системами, например, Windows 2000 или Windows XP описанная профилактика не требуется. Подробно ознакомиться с обновленным техническим описанием сетевого вируса Opasoft можно в Вирусной Энциклопедии Касперского.

-----

Worm.Win32.Opasoft
Источник: http://www.viruslist.com/viruslist.html?id=1143777

Вирус-червь со встроенной троянской программой типа "бекдор". Распространяется по локальным и глобальным сетям используя протокол NETBIOS, предоставляемый MS Windows. Является приложением Windows (PE EXE-файл), имеет размер около 28K.

Инсталляция

При запуске копирует себя в каталог Windows c именем "scrsvr.exe" и регистрирует этот файл в команде автозапуска системного реестра:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ScrSvr = %worm name%

Затем червь удаляет свой первоначальный файл, из которого был запущен.

Распространение

Для того, чтобы найти компьютеры-жертвы червь сканирует подсети по порту 137 (NETBIOS Name Service). Сканируются IP-адреса следующих сетей:

· подсеть текущего (зараженного) компьютера (aa.bb.cc.??)
· две ближайшие подсети текущего компьютера (aa.bb.cc+1.?? , aa.bb.cc-1.??)
· случайно выбранную подсеть (за исключением некоторых "запрещенных" к сканированию сетей)

Если при сканировании случайной подсети какой-либо IP-адрес "отзывается" (т.е. такой адрес соответствует реальному компьютеру), то червь также сканирует две ближайшие подсети данного IP-адреса.

Если со сканируемого IP-адреса приходит "ответ", то червь проверяет в нем определенне поле. Если там указано, что на данном компьютере запущена служба распределенного использования файлов и принтера (File and Print Sharing), то червь запускает процедуру заражения этого компьютера (удаленного хоста).

При заражении червь посылает по 139-му порту (NETBIOS Session Service) SMB-пакеты специального вида. В этих пакетах передаются следующие команды:

1. Устанавливается соединение с ресурсом \\hostname\C (где "hostname" - имя компьютера-жертвы, которое определяется по "ответу" с него при сканировании)
2. Если ресурс закрыт паролем, то червь перебирает все односимвольные пароли.
3. При успешном соединении с ресурсом червь передает на него свой EXE-файл, при этом в команде указывается полное имя файла, в который EXE-файл будет сохранен - WINDOWS\scrsvr.exe
4. Затем червь считывает с компьютера-жертвы файл WINDOWS\win.ini и записывает его на локальный диск под именем C:\TMP.INI
5. В этот INI-файл записывается команда авто-запуска червя (команда "run=" в секции [windows]) и результат передается обратно на компьютер-жертву.

В результате приема-передачи этих пакетов на удаленном компьютере появляются два файла:

\WINDOWS\scrsvr.exe - копия червя \WINDOWS\win.ini - INI-файл Windows с командой авто-запуска червя.

В результате при очередном рестарте компьютера червь получает управление.

Бекдор

Бекдор-троянец открывает Web-сайт www.opasoft.com file и выполняет следующие действия:

· скачивает и запускает свою новую версию (если таковая там присутствует)
· скачивает и выполняет специальные скрипт-файлы

Новая версия червя скачивается в файл "scrupd.exe", который потом запускается на выполнение и замещает текущую версию червя.

При работе бекдор-процедура использует два свои файла данных: "ScrSin.dat" и "ScrSout.dat". Эти файлы зашифрованы сильным крипто-алгоритмом.

Поскольку сервер www.opasoft.com более недоступен, то дальнейшая информация о действиях данной бекдор-процедуры отсутствует.

Технические детали

Для того, чтобы исключить повторный запуск своих копий червь создает Windows mutex с именем "ScrSvr31415".

Заражению подвергаются компьютеры с установленной MS Windows 9x. Возможность заражения NT-систем не подтверждена.