publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Opaserv.J

Virus Opaserv.J

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad alta Propagación Propagación baja Daño Daño alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Opaserv.J produce los siguientes efectos:

  • Se propaga a través de unidades de red compartidas (unidades de disco que se comparten en la red a la que el ordenador afectado está conectado).
  • Intenta conectarse a una página Web con el fin de descargar actualizaciones de sus componentes.

Metodo de infección:

Para realizar su infección, Opaserv.J crea los siguientes ficheros:

  • INSTIT.BAT, en el directorio de Windows. Es una copia del gusano que contiene el código de infección.
  • GUSTAV.SAV e INSTITU.VAT, creados en el directorio raíz de la unidad C:, para intercambiar información con la Web a la que se conecta. 
  • INSTITU, es una copia del fichero WIN.INI que obtiene de los equipos remotos a los que el gusano ataca de la siguiente forma: 

El gusano realiza consultas WINS (a través del protocolo NetBIOS) a diferentes direcciones IP contiguas, en busca de unidades compartidas.

Una vez obtenido el nombre NetBIOS de la máquina, inicia una sesión remota y trata de acceder a la unidad C: de la máquina remota. Si lo consigue, se conectará a la unidad (independientemente de si se encuentra protegida con contraseña), y se copia con el nombre INSTITU, que inicialmente es una copia del fichero de sistema: WIN.INI, pero que se encuentra modificado al crearse la siguiente entrada:

[windows] 

run = C:\WINDOWS\INSTIT.BAT

Después, el gusano vuelve a cambiar el nombre del fichero INSTITU como WIN.INI en el equipo remoto, asegurando la ejecución del fichero en el próximo arranque o inicio del ordenador atacado.

Finalmente, Opaserv.J intenta conectarse a otras unidades de la misma subred del equipo atacado e incluso, trata de hacer lo mismo con unidades IP escogidas al azar.

 

Opaserv.J crea la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run "instit" = C:\Windows\instit.bat
    Con esta modificación, Opaserv.J consigue ejecutarse en cada arranque o inicio de Windows.
 

Metodo de propagación:

Opaserv.J utiliza principalmente unidades de red compartidas para difundirse, actuando del siguiente modo:

  • Busca direcciones IP de la red, así como alguna otra IP aleatoria.
  • Trata de conectarse a unidades de la misma subred del equipo atacado.
  • Se descarga un fichero de actualización desde una dirección Web.
  • Utiliza la vulnerabilidad Share Level Password basada en una inconsistencia de la protección mediante contraseñas de unidades compartidas en Windows Me/98/95.
   
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork