publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Opaserv.N

Virus Opaserv.N

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad muy baja Propagación Propagación muy baja Daño Daño bajo
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Opaserv.N tiene los siguientes efectos:

  • Se propaga rápidamente a través de unidades de red compartidas.
  • Modifica entradas del Registro de Windows y crea diversos ficheros en los ordenadores afectados para extender su infección.

Metodo de infección:

Para realizar su infección, Opaserv.N crea los siguientes ficheros:

  • SRV32.EXE, en el directorio de Windows. Es una copia del gusano que contiene el código de infección.
  • SRVTSK y SRVRES, creados en el directorio raíz de la unidad C:
  • TEMP.INI, es una copia del fichero WIN.INI que obtiene de los equipos remotos a los que el gusano ataca de la siguiente forma: 

    El gusano realiza consultas WINS (a través del protocolo NetBIOS) a diferentes direcciones IP contiguas, en busca de unidades compartidas.

    Una vez obtenido el nombre NetBIOS de la máquina, inicia una sesión remota y trata de acceder a la unidad C: de la máquina remota. Si lo consigue, se conectará a la unidad (independientemente de si se encuentra protegida con contraseña), y se copia con el nombre TEMP.INI, que inicialmente es una copia del fichero de sistema: WIN.INI, pero que se encuentra modificado al crearse la siguiente entrada:

    [windows] 

    run = C:\WINDOWS\SRV32.EXE

    Después, el gusano vuelve a renombrar el fichero TEMP.INI como WIN.INI en el equipo remoto, asegurando la ejecución del fichero en el próximo arranque o inicio del ordenador atacado.

    Finalmente, Opaserv.N intenta conectarse a otras unidades de la misma subred del equipo atacado e incluso, trata de hacer lo mismo con unidades IP escogidas al azar.

Opaserv.N crea también los siguientes ficheros, si no existen ya en el ordenador afectado:

  • SCRSVR.EXE
  • LEVIR.EXE
  • RASIL.EXE

Opaserv.N crea la siguiente entrada en el Registro de Windows :

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run "brasil" = %WinDir%\ SRV32.EXE
    Con esta modificación, Opaserv.N consigue ejecutarse en cada arranque o inicio de Windows.

Opaserv.N borra las siguientes entradas del Registro de Windows:

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\SCRSVR
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ALEVIR
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\BRASIL

    Con ello, elimina todos los rastros de los siguientes virus de la familia Opaserv que pudieran existir en el ordenador: Opaserv, Opaserv.C, opaserv.D, Opaserv.F, Opaserv.G y Opaserv.K

Metodo de propagación:

Opaserv.N utiliza principalmente unidades de red compartidas para difundirse, actuando del siguiente modo:

  • Busca direcciones IP de la red, así como alguna otra IP aleatoria.
  • En esta búsqueda, envía una llamada al puerto 137.
  • Si hay respuesta, se transmite a través del puerto 139 copiándose en el directorio C:\Windows con el nombre: SRV32.EXE.

Otros detalles:

El fichero que contiene a Opaserv.N tiene un tamaño de 18432 Bytes.

Por otra parte, Opaserv.N utiliza la vulnerabilidad Share Level Password asada en una inconsistencia de la protección en las claves de unidades compartidas en sistemas operativos Windows Me/98/95. Puede encontrar información sobre esta vulnerabilidad en página web oficial de Microsoft.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork