Virus Opaserv.M

La Peligrosidad varía según el Daño y la Propagación


Peligrosidad			Propagación			Daño

Descripción

Detalles

Solución

Estadísticas

Efectos:

Opaserv.M produce los siguientes efectos:

Se propaga a través de unidades de red (unidades de disco que se comparten en la red a la que el ordenador afectado está conectado) y recursos compartidos como, por ejemplo, un puerto de comunicaciones.
Se activa en fechas igual o posteriores al 24 de diciembre de 2002. Entonces, muestra un mensaje dentro de una ventana de MS-DOS y seguidamente, elimina el contenido de la CMOS y del disco duro.

Metodo de infección:

Para realizar su infección, Opaserv.M crea los siguientes ficheros:

MSTASK.EXE, en el directorio de Windows. Es una copia del gusano que contiene el código de infección.
MSBIND.DLL y MSCAT32.DLL, creados en el directorio de Windows. Contienen información de otros ordenadores atacados e infectadas. Ambos ficheros están cifrados.

Además, en fechas iguales o posteriores al 24 de Diciembre de 2002, Opaserv.M realiza sus acciones más destructivas consistentes en el borrado del contenido del disco duro y de la CMOS. Para ello, modifica los siguientes ficheros, o los crea en caso de que no existieran:

MSLICENF.COM, con un tamaño de 1706 Bytes.
BOOTSECT.DOS, fichero de boot, es decir, del sector de arranque.
BOOT.EXE, fichero PE, es decir, ejecutable.
Todos ellos ubicados en el directorio raíz del disco duro: C:\.

Opaserv.M también modifica el contenido de los siguientes ficheros:

AUTOEXEC.BAT, introduciendo la siguiente línea:
@MSLICENF.COM
WIN.INI, introduciendo la siguiente instrucción:
run = c:\ windows\ MSTASK.EXE.

BOOT.INI, añadiendo la siguiente información:
[boot loader] <crlf>
default=C:\<crlf>
C:\=”Previous Operating System on C:”<crlf>
MSDOS.SYS, introduciendo la siguiente información:
[Options]<crlf>
Logo=0<crlf>

Para asegurarse de que sus acciones más destructivas (borrado de la CMOS y del contenido del disco duro) se llevan a cabo en Windows Millennium, modifica los siguientes ficheros de dicho Sistema Operativo:

IO.SYS, en el directorio raíz, con un tamaño de 1428 Bytes.
COMMAND.COM, en el directorio raíz, con un tamaño de 1 Byte.
REGENV32.EXE, en el directorio de sistema de Windows Millennium.

Opaserv.L crea la siguiente entrada en el Registro de Windows:

H_KEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\ MSTASK
Con esta modificación, Opaserv.M consigue ejecutarse en cada arranque o inicio de Windows.

Metodo de propagación:

Opaserv.M utiliza principalmente unidades de red o recursos compartidos para difundirse, actuando del siguiente modo:

Busca direcciones IP de la red que tengan el puerto 137 abierto.
Si obtiene respuesta, Opaserv.M se trasmite por el puerto 139, copiándose en el directorio: C:\Windows del ordenador atacado, con el nombre: MSTASK.EXE. Para conocer el proceso de envío de este fichero, pulse aquí.
La búsqueda de direcciones IP sigue un orden. Primero, busca en la subred del equipo actual. Después, las dos subredes más próximas. Finalmente, escoge direcciones IP al azar.
Utiliza la vulnerabilidad Share Level Password basada en una inconsistencia de la protección mediante contraseñas de unidades compartidas en Windows Me/98/95.

Otros detalles:

Para que conozca un poco más a Opaserv.M, aquí se comentan otros detalles de interés:

Está programado en Ensamblador y se encuentra comprimido con la utilidad PECompact v. 1.6.
Opaserv.M se diferencia de otras versiones de gusanos de esta familia (Opaserv) en que no se conecta a una página Web para verificar si existen versiones nuevas del gusano, al igual que también ocurre con la variante Opaserv.L.