Vírus e cia.

Opaserv

Apelidos	Descontaminação manual
Características	Indicadores de infecção
Correção para Windows 95, 98, 98SE e Me	Onde obter mais informações
Cuidados especiais com os Windows ME ou XP	Medidas gerais de prevenção
Descontaminação com vacina específica

É um worm com tamanho igual a 28.672 bytes, que apareceu em meados de 2002.

Aparentemente foi criado por brasileiros e tem grande disseminação em território nacional. Pertence ao grupo "network-aware" (que detecta a rede) e tenta se replicar sobre compartilhamentos abertos de rede. Tem grande capacidade de se distribuir através das redes locais, causando uma rápida infecção de todas as máquinas não devidamente protegidas da rede.

Embora de baixo nível destrutivo, afeta todas as versões do Windows, a partir da versão 95. (Entretanto, nos casos de sistemas com as versões NT, 2000 e XP, erros em sua programação quase sempre evitam a infecção desses sistemas). Não afeta sistemas Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux.

A vulnerabilidade do Windows "Share Level Password"

O Opaserv, não se espalha por e-mail como a maioria dos worms. Na realidade:

- dissemina-se por meio de pastas compartilhadas em redes, copiando-se a si próprio para o arquivo "scrsvr.exe" na máquina remota e
- utiliza-se de uma vulnerabilidade dos sistemas Windows conhecida por "Share Level Password" para disseminar-se por meio de drives C: compartilhados.

A falha permite que o worm envie uma senha composta de um único dígito e tenha acesso aos arquivos compartilhados em rede, ou seja, um usuário, remoto, poderá acessar um compartilhamento nas versões 9x e ME do Windows, conhecendo apenas a primeira letra da senha do compartilhamento.

A vulnerabilidade afeta os sistemas Microsoft Windows 95, 98, 98 Second Edition e Windows Me e já tem correção desde o ano 2000, mas a mera falta de conhecimento (ou a displicência) dos usuários quando se trata de atualizar o Windows e seus programas complementares, possibilita que muitas computadores sejam atingidos até hoje.

A correção (patch) disponibilizada pela Microsoft no boletim de segurança MS00-072, deve ser escolhada, copiada e instalada.

Características

<>Há muitas variantes conhecidas que parecem ter sido criadas pelo mesmo grupo: o brasileiro AlevirusSCS, cuja última praga conhecida era o antigo vírus Alevirus.1613.

Ao ser executado numa máquina, cria um arquivo na pasta do Windows, com o nome ScrSVr.exe. E também tenta acessar todas as máquinas da rede local e, se encontrar pastas compartilhadas e, para cada compartilhamento encontrado, fará uma cópia de si mesmo para "C\Windows\scrsvr.exe".

Para que os sistemas 95/98/Me o executem durante a inicialização de Windows, o worm modifica a seção [windows] do arquivo C:\Windows\Win.ini, adicionando a linha:
<> run= c:\tmp.ini ou run= C:\ScrSvr.exe

Nos computadores onde a infecção ocorreu em primeiro lugar, o worm gera uma nova entrada no Registro do Windows, com o objetivo de se auto-executar a cada reinício do Windows. A chave é:

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run "ScrSvr" = %WinDir%\ScrSvr.exe

A variante Opaserv-E, na máquina "disseminadora" também são criados doois arquivos na pasta raiz, com os nomes de scrsin.dat e scrsout.dat.

Essa entrada no Registro é uma sub-chave da chave
HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run -
e aponta para um arquivo de nome BRASIL.PIF ou BRASIL.EXE.

Essa chave deve ser removida, para evitar a reinfecção no próximo boot do sistema.

Em computadores remotamente infectadas ele também cria um arquivo de nome TMP.INI - sempre na pasta o diretório Raiz do drive C: - com cópia do arquivo WIN.INI, no qual ele altera a entrada RUN, fazendo-a apontar para o temp.ini, o que garante sua execução nos boots dessas máquinas. Essa entrada é similar à: run = c:\windows\SCRSVR.EXE.

Também copia o conteúdo do arquivo WIN.INI, para um arquivo local, de nome PUT.INI. Em seguida insere uma linha na seção [WINDOWS] desse arquivo, de sorte a que ela fique como:
run = c:\windows\BRASIL.PIF

Finalmente o worm copia o arquivo PUT.INI de volta para o WIN.INI. Esta modificação no arquivo WIN.INI remoto, permite que o worm possa tomar conta da máquina, no próximo reinício dela.

O W32/OpaServ.E também se atualiza pela Internet, através de acesso à um site (www.opasoft.com) para efetuar downloads (uma atualização "scrupd.exe"), coleta informações das máquinas conectadas à rede local, tal como o nome do computador e o nome do domínio, os quais são enviadas para esse "site" que não está mais "on line".

O W32/Opaserv.E cria dois arquivos (BRASIL.DAT e BRASIL!.DAT) na pasta raiz do sistema, que são utilizados para suas rotinas internas de atualização do worm pela Internet. (Neste momento parece que todos os sites Web utilizados já foram retirados do ar, o principal deles era o www.n3t.com.br domínio registrado por uma empresa sediada em Embu, São Paulo).

O worm OpaServ coleta informações das máquinas conectadas à rede local, tal como o nome do computador e o nome do domínio, as quais são enviadas para o site acima citado.

Variantes

Já se conhece pelo menos seis variantes do worm, mas todas tem a capacidade de se espalharem aproveitando o compartilhamento de impressoras e arquivos para redes Microsoft, que utiliza como padrão a porta 139.

Algumas variantes também são capazes de, a partir de uma máquina contaminada, escanear IPs de outras máquinas vulneráveis para contaminá-las o que gera muito tráfego na Internet. (Isso causou reclamação de empresas como a Telefônica, responsável pelo serviço de banda larga Speedy, em São Paulo).

Uma das variantes do OpaServ se copia pelas unidades de rede com o nome de BRASIL.exe ou BRASIL.pif, ficando residente nos equipamentos em que consegue penetrar.

Apelidos

W32/Opaserv.worm [McAfee], W32/Opaserv-A [Sophos], Win32.Opaserv [CA], WORM_OPASOFT.A [Trend], Worm.Win32.Opasoft [AVP]
Apelidos/Variantes: BackDoor-ALB, Backdoor.Opasoft, Bck/Opasoft, W95/Scrup.worm, Win32.Opasoft, WORM_OPASOFT

Indicadores de infecção

- Existência do(s) seguinte(s) arquivo(s) :
TMP.INI e SCRSVR.EXE - nos computadores contaminados pela rede local
SCRSIN.DAT, SCRSOUT.DAT e SCRSVR.EXE - no computador disseminador

- Presença da chave de registro no computador disseminador
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run contendo um valor string chamado ScrSvr ou ScrSvrOld configurado para "C:\tmp.ini"

- Alteração dos arquivos WIN.INI e TMP.INI, nos computadores contaminados pela rede local

- Alguns dos arquivos que denunciam a presença de variantes do Opaserv, na pasta C:\ Windows
ScrSvr.exe, BRASIL.PIF, BRASIL.EXE, FDP!!!!.dat, PUTA!!.EXE e ALEVIR.EXE.

Descontaminação

- Procedimentos para retirar o Opaserv de um computador

Quem utiliza os sistemas Microsoft Windows 95, 98, 98 Second Edition e Windows Me deve escolher o arquivo correto, copiá-lo e e instalá-lo.

Cópia do instalador da correção

(Se não tiver o hábito de instalar programas, clicar aqui para ter mais informações).

- Criar uma pasta (no local onde você guarda seus arquivos de instalação )
com o nome correção do windows, por exemplo.
- Copiar para ela o arquivo instalador correto, conforme o seu sistema.

A cópia pode ser feita a partir

a.1. Do "site" original, em português
- Acessar o site http://www.microsoft.com/technet/security/bulletin/MS00-072.asp
- Procurar o link e solicitar a cópia.
- Gravar o arquivo na pasta recém criada.
ou
a.2. Do "Muitas Dicas"
(Estando na UFPA é o mais rápido).
- Clicar no botão "Download" desejado com o botão direito do mouse,
e em algo como "Gravar destino como", "Gravar arquivo como", "Save link as".

Windows 95	Windows 98 / 98SE	Windows Me

Basta dar um duplo clique no arquivo recém copiado e acompanhar o processo de instalação concordando com as telas que aparecem e aguardar o reinício do sistema.

<>
Devem ser tomados cuidados especiais com o sistemas Windows ME e Windows XP:

O Windows ME usa um procedimento de back-up que faz cópias automaticamente na pasta C:\_Restore, que é protegida pelo Sistema Operacional. Ou seja, isso significa que um arquivo infectado pode ser armazenado nessa pasta, como um arquivo de backup e, assim, o antivírus não poderá deletá-lo.

A ferramenta "Restore" no Windows XP é semelhante à "última boa configuração" dos Windows 2000 e NT. Um arquivo infectado por um vírus pode ser armazenado na pasta que contém essas informações e, como tal pasta não pode ser modificada por programas externos, antivírus não poderá deletá-lo.

Portanto, antes de fazer o procedimento manual ou de utilizar programas para retirar o Opaserv, quem utiliza o Windows ME ou o Windows XP deve desabilitar essas ferramentas. Se não souber como proceder:

Windows Me	Windows XP
clique aqui	clique aqui

A - Descontaminação com vacina específica

É feita utilizando pequenos programas que tem capacidade de eliminar só o Opaserv e suas principais seqüelas. A Symantec disponibilizou um pequeno programa que remove o Opaserv.

Para copiar o arquivo
a. do "site" original, acesse-o e copie o arquivo fixopsrv.exe de 170 KB's:
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/br-w32.opaserv.worm.html

b. ou clicando-se em "Download", com o botão direito do mouse e em algo como "Save link as".

Em qualquer um dos casos acima, escolha ou crie uma pasta em seu computador e salve o arquivo nela.
(Se não tiver acesso ao Windows Explorer, copiar o arquivo para um disquete, em outro computador não contaminado).
Se o computador estiver conectado à Internet deve ser desconectado (desconectar o cabo, fisicamente).

Então, deve-se:

- Localizar e dar um duplo clique no arquivo fixopsrv.exe recém copiado.

- Abrir-se-á uma janela.

. Se não quiser fazer o download do pacth de correção do windows clicar em No.
. Depois, clicar em "Start" e todo o computador será escaneado.

- Se a remoção do Opaserv for bem sucedida o programa exibe, entre outros, os seguintes resultados: número total de pastas e arquivos verificados, número de arquivos reparados e de deletados.
- Só reconectar à Internet e compartilhar novamente qualquer unidade ou pasta com direito de gravação quando o worm tiver sido totalmente erradicado da rede, ou seja, quando esse procedimento tiver sido efetuado em todos os computadores da mesma rede.

B - Descontaminação manual

IMPORTANTE: Só executar esses procedimentos se realmente souber fazê-lo, realmente. Em caso contrário, recorra a alguém que tenha um bom conhecimento técnico para descontaminar seu computador.

Erros neste processo podem causar danos sérios, comprometendo o funcionamento do sistema, podendo provocar mais estragos do que os ocasionados pelo próprio vírus.

Se necessitar de informações sobre a edição de registro do Windows e uso de comandos do DOS clique aqui.

1	Aplicar a correção (patch) disponibilizada pela Microsoft no boletim de segurança MS00-072. Notar que a não aplicação desta correção implica na re-infecção de computadores em rede com Windows 95 - 98- 98SE -Me, mesmo tendo um antivírus atualizado instalado.
2	Se o computador estiver conectado à Internet deve ser desconectado (ou seja, o cabo deve ser desconectado fisicamente), antes de efetuar a limpeza. Aqueles que tiverem conexão permanente à Internet (DSL ou cabo) também precisam ser desconectados. (Essa ação que só deve ser revertida ao final da descontaminação da última máquina existente na rede). (Há casos descritos de computadores, após ter sido limpos, foram contaminados novamente assim que foram conectados à Internet ou em que foram ligados à rede interna).
3	O computador tem algum tipo de compartilhamento? Se não tiver, passar para o item 4. Se tiver, descompartilhar: É importante dizer que muitos usuários de Windows deixam esta opção habilitada sem saber, mesmo quando têm um único computador isolado para uso doméstico. Portanto, verifique. As instruções que se seguem são para o Windows 98. Nos outros sistemas são bastante parecidas: Abrir o Windows Explorer e clicar com o botão direito sobre pasta compartilhada. Selecionar Compartilhamento Clicar no campo Não compartilhado - Clicar em Ok Estabelecimento de Ligações Clicar em: Botão Iniciar - Configurações - Painel de Controle - Rede Selecionar TCP/IP - modelo da placa existente... Clicar em Propriedades e na aba Ligações Na janela que se abre retirar o clique de "Compartilhamento de arquivos e impressoras para redes Microsoft" Compartilhamento de arquivos e impressoras Clicar em: Botão Iniciar - Configurações - Painel de Controle - Rede Selecionar TCP/IP - modelo da placa existente... - Em "Logon primário da rede" selecionar: Cliente para redes Microsoft - Clicar no botão "Compartilhamento de arquivos e impressoras" - Tirar o clique de "Desejo que outros usuários tenham acesso a meus arquivos"? - "OK"
4	Remover os arquivos temporários do computador: Clicar em Iniciar - Programas - Acessórios Ferramentas do sistema - Limpeza de disco. (Se desejar mais informações sobre o utilitário "Limpeza de disco", clicar aqui.
5	Como o arquivo Win.ini é modificado pelo vírus, para que seja executado sempre que o sistema for iniciado, deve-se abrir este arquivo e apagar a linha inserida pelo Opaserv. Se usar o Windows Me: O processo de proteção de arquivos do Windows Me, faz uma cópia do arquivo que você está prestes a editar na pasta C:\Windows\Recent. Excluir esse arquivo usando o Windows Explorer: clicar em C:\Windows\Recente, no painel à direita, selecionar o arquivo Win.ini e o excluir. Se o sistema operacional for Windows 95 ou 98 ou Me dar um duplo clique no arquivo win.ini em C:\Windows (usar o Notepad.exe ou o Edit.com) Procurar por ScrSvr. Se encontrar, run= c:\tmp.ini ou run= C:\ScrSvr.exe Selecionar a linha inteira, verificando se não selecionou algum outro texto, e pressionar a tecla <Del>. Salvar o arquivo
6	Reiniciar o computador em modo MS-DOS Ir para a pasta C:\Windows e deletar os arquivos: (Vai aparecer assim) C:\windows> Digitar: c:\windows>del alevir.exe c:\windows>del brasil.pif c:\windows>del brasil.exe c:\windows>del scrsvr.exe c:\windows>del marco!.scr c:\windows>del puta!!.exe c:\windows>hacke!.exe c:\windows>del elida.exe c:\windows>del ellen.exe c:\windows>del instit.bat c:\del tmp.ini c:\del gay.ini c:\del put.ini <>(Se aparecer a mensagem "Não encontrado" isso significa que não havia uma certa variante no computador. Pode ser que só haja uma variante). Variante Arquivo <> Opaserv A scrsvr.scr <> Opaserv B alevir.exe <> Opaserv C brasil.pif
7	Remover as entradas ScrSvr no registro do Windows: - Clicar no botão "Iniciar" e em "Executar" - Digitar "REGEDIT" (sem as aspas) - Clicar em "OK" - No painel do lado esquerdo, clicar em (+) e seguir o caminho: HKEY_LOCAL_MACHINE Procurar as pastas "SOFTWARE", "Microsoft", "Windows", "Current Version" e "Run" (nessa ordem) - No painel à direita, exclua os valores a seguir: ScrSvr %windir%\ScrSvr.exe e ScrSvrOld <nome original do worm> - Fechar o Editor de Registro.
8	Quando acabar de fazer essas alterações verificar se há outro arquivo Win.ini que em uma das seguintes pastas: C:\Windows\Recent ou C:\Documents and settings\nome do usuário Obs.: Se não conseguir visualizar essa pasta é preciso abrir o Windows Explorer - Ferramentas - Opções de Pasta - Modo de Exibição - Mostrar pastas e arquivos ocultos (marcar essa opção) ou Windows Explorer - Exibir - Opções de Pasta - Modo de Exibição - Mostrar os arquivos (marcar essa opção). Se houver, deletar esse segundo Win.ini Faça novamente a limpeza de disco. (Iniciar - Programas - Acessórios - Ferramentas do sistema - Limpeza de disco).
9	Só reconectar à Internet e recompartilhar novamente qualquer unidade ou pasta com direito de gravação, quando o vírus for totalmente erradicado da rede, ou seja, quando esse procedimento completo tiver sido efetuado em todos os computadores. <>Ao terminar o processo de remoção, se for reativar os arquivos ou pastas compartilhados, nunca compartilhe toda a unidade C:/. Ou seja, compartilhe uma determinada pasta. ( Os vírus BugBear e Opaserv se espalham pela técnica de colocar uma linha a mais no arquivo WIN.INI, que fica na pasta WINDOWS em computadores com Windows 9x. Lembrar que, em geral, os usuários comuns nunca precisam escrever ou ler qualquer arquivo na pasta WINDOWS, mas os vírus precisam ter acesso a esta pasta para se espalhar). As pastas compartilhados devem ser protegidas com uma senha segura e não deve ser utilizada uma senha em branco. Fazer com que este compartilhamento seja "Somente Leitura", antes de reconectar os computadores à rede ou à Internet. (Ou seja, os usuários não poderão mais colocar arquivos nas máquinas dos demais usuários, mas poderão copiá-los das pastas compartilhadas).
10	Executar o seu antivírus atualizado. Se nenhum vírus for encontrado, acessar a Internet. Visitar vários sites e executar o antivírus novamente.
11	Se utilizar o Internet Explorer 5 é recomendável mudar de navegador (sugestão: Usar o Mozilla). No mínimo deve-se atualizar o IE5 para IE6.

Medidas gerais de prevenção

Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos conectados à Internet).

Essas medidas podem ser resumidas assim:

1. Jamais executar um programa ou abrir um arquivo sem antes executar o antivírus sobre a pasta que o contenha.

2. Atualizar o seu antivírus constantemente (todas as semanas e até diariamente as empresas distribuem cópias gratuitas dos arquivos que atualizam a lista dos novos vírus e vacinas).

3. Desativar a opção de executar documentos diretamente do programa de correio eletrônico.

4. Jamais executar programas que não tenham sido obtidos de fontes absolutamente confiáveis.

Leia mais sobre esse assunto, clicando aqui.

Onde obter mais informações

http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/br-w32.opaserv.worm.html

http://www.infoguerra.com.br/infoguerra.php?newsid=1038521622,28730,/

http://www.maple.com.br/command/cartasview.asp?include=cartas/c021027.htm

http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/br-w32.opaserv.worm.html

http://www.superdicas.com.br/asp/lista_virus.asp?nome=opaserv

Este "site", destinado prioritariamente aos alunos de Fátima Conti,
pretende auxiliar quem esteja começando a se interessar por internet,
segue as regras da FDL (Free Documentation Licence),
computadores e programas, estando em permanente construção.
Sugestões e comentários são bem vindos.
Se desejar colaborar, clique aqui.
Agradeço antecipadamente.

Deseja enviar essa página?

Se você usa um programa de correio eletrônico devidamente configurado e tem
um e-mail pop3, clique em "Enviar página" (abaixo) para abrir o programa.
Preencha o endereço do destinatário da mensagem.
E pode acrescentar o que quiser.
(Se não der certo, clique aqui para saber mais).

Enviar página

Se você usa webmail copie o endereço abaixo

http://www.cultura.ufpa.br/dicas/vir/vir-opas.htm

Acesse a página do seu provedor. Abra uma nova mensagem.
Cole o endereço no campo de texto.
Preencha o endereço do destinatário.
E também pode acrescentar o que quiser.

Última alteração: 20 fev 2007