W32.Opaserv.Worm

別名： W32/Opaserv.worm [McAfee], W32/Opaserv-A [Sophos], Win32.Opaserv [CA], WORM_OPASOFT.A [Trend], Worm.Win32.Opasoft [AVP]

類型: Worm

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

CVE 參考： CVE-2000-0979

注意：由於提交率的提高，賽門鐵克安全回響中心自 2002 年 9月 30 日起將此威脅級別從 2 類升級為 3 類。

W32.Opaserv.Worm 是一種具有網路意識的蠕蟲。它會通過開放的網路共享傳播。它將自己以 Scrsvr.exe 檔案的方式複製到遠端電腦，然後嘗試從可能已經關閉的 www.opasoft.com 網站下載更新。感染的徵兆如下∶

* 在 C 盤根目錄出現檔案 Scrsin.dat 和 Scrsout.dat。這意味著蠕蟲已在本機上執行。

* 在 C 盤根目錄出現檔案 Tmp.ini。這意味本機被遠端的計算機感染。

* 註冊表鍵 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run 包含字元串 ScrSvr 或 ScrSvrOld，這個值被設定至 c:\tmp.ini.

如果您的計算機在一個網路中，通過 DSL、Cable 或 撥號網路與 Internet 長時間連線，我們強烈建議您使用防火牆軟體。有關賽門鐵克的防火牆軟體產品，請到下列網址選購：

www.symantec.com/region/cn/product/

防護

* 病毒定義（每周 LiveUpdate™） 2002 年 9 月 30 日

* 病毒定義（智慧型更新程式） 2002 年 9 月 30 日

威脅評估

廣度

* 廣度級別： Low

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分布： High

* 威脅抑制： Moderate

* 清除： Moderate

損壞

* 損壞級別： Low

分發

* 分發級別： Medium

* 共享驅動器： Attempts to spread to non-password protected shares

當W32.Opaserv.Worm 執行時，它進行如下操作:

它在註冊表鍵

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

檢查值

ScrSvrOld

如果該值存在，蠕蟲會刪除 ScrSvrOld 指向的檔案。

如果 ScrSvrOld 不存在，則蠕蟲會結束執行，不論 ScrSvr 是否存在

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 鍵中。

如果該值不存在，蠕蟲在註冊表鍵中加入

ScrSvr %windir%\ScrSvr.exe

然後它會檢查該值是否以 %windir%\ScrSvr.exe 檔案的形式執行。如果沒有，則將自己複製到該檔案中並在該註冊表鍵中加入下列值∶

ScrSvrOld <最初病蟲名稱>

注意：%windir% 是一個變數。蠕蟲會找到 \Windows 資料夾（默認位置是 C:\Windows 或 C:\Winnt），然後將自身複製到該位置。

當蠕蟲檢查完註冊表鍵以及病蟲執行的位置時，它會建立一個名 ScrSvr31415 為 Mutex 以確定是否正在執行。

如果蠕蟲尚未執行，則它會將自己登錄為 Windows 95/98/Me 下的程式。在 Windows NT/2000/XP 下則會進一步提升病毒程式的優先權。然後蠕蟲會查尋所有“C\” 網路已分享資料夾並將自己複製到找到目錄的 C\Windows\Crsvr.exe。

運行 Windows 95/98/Me 的計算機每次都會在 Windows 啟動時運行病蟲。它會在 C:\Windows\Win.ini 加入下列行

run= c:\windows\scrsvr.exe

注意：

蠕蟲會在將自身複製為 %windir%\ScrSvr.exe 之前修改 C:\Windows\Win.ini。因此， 計算機重啟時，一個信息會顯示說找不到 ScrSvr.exe。將病蟲加入的行刪除可以解決這個問題。

蠕蟲代碼顯示它會在 Win.int 中加入：run= c:\tmp.ini

但在實際傳染中，病蟲加入的是 run= c:\ScrSvr.exe.

同時建立 C:\Tmp.ini，內含如下內容

run= c:\windows\scrsvr.exe

該病蟲似乎可以藉由自身存儲的 URL 到一個網站獲取更新。它還會試著下載 一個名為 Scrupd.exe 的更新檔案。

建議

賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。

* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。

重要信息：

* 該蠕蟲利用了Microsoft Windows 95/98/Me 的一個安全漏洞。它傳送單個字元的密碼來進入 Windows 95/98/Me 的共享資料夾，而不需要知道為資料夾設定的完整密碼。為避免再次感染，請到下列連結下載並安裝補丁程式：

http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

* 移除蠕蟲前請先斷開計算機與 Internet 的連線。在重新連入網路前，請先關閉或使用密碼保護已分享檔案夾，或設定已分享檔案夾為“唯讀”。更多信息請參照 How to configure shared Windows folders for maximum network protection。

* 從網路中清除蠕蟲前，確認每個共享資料夾已關閉或設為“唯讀”。

使用W32.Opaserv.Worm 防毒工具清除

這是最簡便的清毒方法。賽門鐵克安全回響已經開發出W32.Opaserv.Worm 防毒工具。單擊這裡獲取該工具。

手動清除

作為使用防毒工具的替代手段，您也可以手動清除病毒：

1. 斷開與網路的連線。

2. 更新病毒定義。

3. 運行完整的系統掃描，並刪除所有被檢測為 W32.Opaserv.Worm的檔案。

4. 從註冊表鍵

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

5. 刪除下列值

ScrSvr %windir%\ScrSvr.exe 和 ScrSvrOld <最初蠕蟲名稱> （僅適用於 Windows 95/98/Me）

6. 從 C:\Windows\Win.ini. 刪除行

run= c:\tmp.ini

7. 有關如何完成此操作的詳細信息，請參閱下列指導。

8.

斷開與網路的連線

如果你的計算機在網路中，或者通過 DSL 或 Cable 與 Internet 全天相連，您需要斷開與它們的連線。在計算機與網路或 Internet 重新連線之前，請禁用或用密碼保護檔案共享。因為此蠕蟲是通過已分享檔案夾在網路計算機上傳播的，為確保蠕蟲被刪除後不再感染計算機，賽門鐵克建議用唯讀訪問或使用密碼保護檔案共享。有關如何進行該操作的指導，請參閱 Windows 文檔或文檔 如何配置共享 Windows 資料夾儘可能的保護網路。

要點：請不要跳過此步驟。試圖刪除此蠕蟲之前，必須斷開網路連線。

更新病毒定義：

所有的病毒定義在公布到伺服器之前都經過賽門鐵克安全回響中心的嚴格檢測。您可以通過下列兩種方式來獲取最新病毒定義：

* 運行 LiveUpdate，這是獲得病毒定義最簡便的方法。這些病毒定義通常每星期一次（星期三）更新到 LiveUpdate 伺服器上，當有重要疫情發生時則例外。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義，請見本說明頂部的病毒定義 (LiveUpdate) 行。

* 使用“智慧型更新程式”下載病毒定義。會在工作日（周一至周五，美國時間）發布。必須從 Symantec 安全回響中心 Web 站點下載病毒定義，並手動進行安裝。要確定是否可以通過“智慧型更新程式”獲得解決該威脅的病毒定義，請見本說明頂部的病毒定義（智慧型更新程式）行。

病毒定義更新安裝程式病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝 Intelligent UpdaterTM 病毒定義，請單擊這裡。

掃描和刪除受感染檔案：

1. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。

* Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。

* 賽門鐵克企業版防病毒產品：請閱讀“如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案”。

2. 運行完整的系統掃描。

3. 如果有任何檔案被檢測為感染了 W32.Opaserv.Worm，請單擊“刪除”。

從註冊表刪除蠕蟲加入的值：

警告：賽門鐵克強烈建議在更改註冊表之前先進行備份。如果對註冊表進行了不正確的更改，可能導致永久性數據丟失或檔案損壞。請僅修改指定的鍵。有關指導，請參閱文檔：如何備份 Windows 註冊表。

1. 單擊“開始”，然後單擊“運行”。出現“運行”對話框。

2. 鍵入 regedit，然後單擊“確定”。將打開“註冊表編輯器”。

3. 瀏覽到以下鍵：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. 在右窗格中，刪除下列內容：

ScrSvr %windir%\ScrSvr.exe

ScrSvrOld <最初蠕蟲名稱>

5. 退出“註冊表編輯器”。

刪除蠕蟲加入到 Win.ini 的值：

只有安裝 Windows 95/98/Me 的電腦才需要進行該操作。

注意：（僅適用於 Windows Me 用戶）由於 Windows Me 具有檔案防護功能，因此 C:\Windows\Recent 資料夾中存在要編輯檔案的一個備份副本。Symantec 建議在繼續下一部分中的操作之前刪除此檔案。要使用 Windows 資源管理器完成此操作，請轉至 C:\Windows\Recent，然後在右窗格中選中 Win.ini 檔案並將其刪除。將更改保存到要編輯的檔案時，會重新生成此檔案的一個副本。

1. 單擊“開始”，然後單擊“運行”。

2. 鍵入以下內容，然後單擊“確定”：

edit c:\windows\win.ini

3. 將打開 MS-DOS Editor。

注意：如果 Windows 安裝在其它位置，請用相應的路徑代替。

在檔案的 [windows] 部分，查找與下列顯示相似的項：

run= c:\tmp.ini

4. 選擇整個行。確認你沒有選擇檔案中其它內容後，按 Delete。

5. 單擊 File，然後單擊 Save。

6. 單擊 File，然後單擊 Exit。

注意：有些感染案例顯示 該蠕蟲會在感染其它病蟲後一起傳染到一台計算機上。鑒於此，建議您在清除 W32.Opaserv.Worm 之後 運行全面系統掃描。如果顯示有任何檔案有感染跡象，請到 http://securityresponse.symantec.com/avcenter/vinfodb.html 搜尋有關信息後依照說明清除病毒。

賽門鐵克中國安全回響中心收錄所有三級及三級以上病毒、病毒清除工具的中文翻譯。

描述者： Douglas Knowles