Opasoft - neuer Schädling

#1 "Opasoft" Causes The Second Virus Epidemic This Week
Kaspersky Labs, an international data-security software developer,
announces the emergence of already the second virus epidemic this week.
This time, the multi-component program "Opasoft" combines the
characteristics of a network worm and a Trojan program designed to gain
unauthorized remote control of infected computers. At this time the
Kaspersky Labs round-the-clock technical support service has received
confirmed reports of "Opasoft" infections in Russia, France, Germany,
the UK, Korea among other countries with the amount of events on the
increase.

"Opasoft" spreads through and between local area networks. After
penetrating a computer the worm copies itself to the Windows system
directory under the name "SCRSVR.EXE". In order to launch itself upon
operating system restart, "Opasoft" registers this file in the Windows
registry auto-run key, and additionally modifies the WIN.INI
initialization file.

"Opasoft's" Trojan component is designed to accomplish unauthorized
remote control of infected machines. Specifically, the "Opasoft" worm
connects to the www.opasoft.com Web site, where it downloads its updated
versions (if there are any) and launches on the infected computer
malicious script programs. The indicated web site is already closed,
therefore the described Trojan functions are no longer operative.

Presently, three modifications of the Opasoft worm are known. The
defense against all three has already been added to the Kaspersky
Anti-Virus databases.

More detailed information covering the Opasoft worm are available in the
Kaspersky Virus Encyclopedia at:
http://www.viruslist.com/eng/viruslist.html?id=52256.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#2 Opa-Soft?

Ist das eine Senioren Software Firma?

Ich liebe solche lustigen Namen...

Hier etwas aus McAfee - Avert:

Zitat

The risk assessment of this threat was updated to Low-Profiled due to media attention.

This threat contains errors, which prevent it from replicating on many WindowsNT/2K/XP systems.
This worm attempts to spread over the network by copying itself to the STARTUP folder of remotely accessible systems. When run on the victim machine, the worm copies itself as %WinDir%\ScrSvr.exe. The following Registry key is set to hook system startup:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"ScrSvr" = %WinDir%\ScrSvr.exe

The worm attempts to access a remote URL (unavailable at the time of writing).

__________
So wird mein Post von allen gelesen..

#3 Der BSI hat folgendes dazu:

Name: W32.Opaserv.Worm
Alias: W95/Scrup.worm[McAfee]
Art: Wurm
Betriebssystem:Windows 32 bit
Verbreitung: mittel
Schadensfunktion:
bekannt seit: 30. September 2002



W32.Opaserv.Worm ist ein netzwerkfähiger Wurm, der sich über freigegebene
Laufwerke verbreitet.
Dabei kopiert er die Datei "scrsvr.exe" auf die Freigaben. Weiterhin
versucht er ein Update des Wurms von der URL: www.opasoft.com.

Weitere Informationen unter http://www.bsi.bund.de/av/vb/opaserv.htm


R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#4 In deinem vorherigen Artikel steht, dass opasoft.com schon geschlossen ist.
Dadurch kann sich der Wurm nicht updaten.

Zur Beseitigung muss man sich nur die aktuellen Virendefinitionen runterladen,
die Festplatte scannen und alle infizierten Dateien löschen.
__________
So wird mein Post von allen gelesen..

#5 Ergänzung:

As was reported on October 1st, the Internet suffered a new epidemic
courtesy of the "Opasoft" worm, which aggressively asserted itself as
one of the three most widespread malicious programs by recording
numerous incidences in a myriad of countries the world over. Currently,
40% of all cases Kaspersky Labs technical support is dealing with are
connected to Opasoft, a figure exceeding even those of other dangers
worms such as "Klez" and "Tanatos".

Distinguishing "Opasoft" is the way it spreads over the Internet. The
worm scans the global network and determines which computers are running
Windows 95/98/ME and on which to attempt to gain access to drive C.
Next, "Opasoft" goes through access passwords to these resources and if
it is successful in gaining access it promptly infects victim machines
with copies of itself. To search infected computers "Opasoft" uses
communications ports (137 and 139) accepted in Windows networks for
exchanging data. It is precisely this fact that these ports are targeted
for hacker attack. This together with the circumstance that so many
users and system administrators do not follow secure policies for
computer resources, predetermined the rapid spread of the Opasoft worm.

Kaspersky Labs strongly recommends taking the following actions in order
to avert the possibility of "Opasoft" penetration:

Home Users must check if any computer services have been assigned for
user files or printers. To do this, users should right click on the
Network Neighborhood icon, select Properties and click on File and
Printer Sharing. A window opens showing the current status of services,
if system access to services has been established inappropriately users
can then correct it.

If a user knowingly opens access to Disk C, it is then necessary to make
certain that it is password protected with a long password with no less
than two symbols.

System Administrators are recommended to protect access to ports 137 and
139 from external access. On all computers that must transmit data to
external networks via these ports, it is important to check the shared
resources list to make sure they are properly password protected.

Finally, Internet Providers are also recommended to close ports 137 and
139 to their clients and open them only upon special request to execute
specific tasks.

Kaspersky Labs points out that "Opasoft" infects only computers running
Windows 95/98/ME, therefore the measures outlined above are not needed
for computers using other operating systems, for example, Windows 2000
or Windows XP.

Please become familiar with the updated technical description of the
"Opasoft" network worm in the Kaspersky Virus Encyclopedia:
http://www.viruslist.com/eng/viruslist.html?id=52256
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#6 opasoft-Virus ist mit den tools von Symantec nicht zu entfernen.
Er regeneriert sich automatisch nach einer undefinierten Zeitschleife.
Was kann man noch tun?

#7 Hast du schon mal tools von anderen Herstellern ausprobiert?
Also mal bei McAfee, F-Secure und anderen vorbeischauen.
__________
So wird mein Post von allen gelesen..

#8 Du kannst Dich an Symantec wenden und Dein Problem schildern, oder Du postest mal die genauen Umstände und wir schauen dann mal.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 Ich konnte diesen Wurm nur stoppen indem ich die Freigabe des Laufwerk C: aufgehoben habe und anchließend beseitigt habe.
Gibt es noch eine andere Möglichkeit, trotz Laufwerks-Freigabe?

#10 http://www.kaspersky.com/de/news.html?id=948025
Kaspersky bietet auch ein Tool an; beinhaltet Erkennung/Entfernung für Bugbear (Tanatos) und Opasoft
__________
Durchsuchen --> Aussuchen --> Untersuchen

#11 @Marco

Du willst dein Laufwerk doch gar nicht freigeben... jedenfalls nicht für die ganze Welt!
Und genau das tust du offensichtlich, denn der Wurm kopiert sich immer wieder von irgendwo auf der Welt auf dein freigegebenes Laufwerk, auf das JEDER (Schreib-)Zugriff hat!
Du darfst die Dateifreigabe nur an dein LAN binden, nicht an das Internet-Interface.

#12 Ja, es sieht so aus als ob der Wurm immer wieder über das freigegebene Laufwerk c: neu vom Internet eingespielt wurde.
Ich habe jetzt eine Firewall installiert und das Laufwerk gesperrt.
Seitdem ist erst mal Ruhe.
Ich danke Euch

#13 Verbreitet der sich nicht auf Netzlaufwerken du sitzt du in einen Netzwerk sind
alle anderen Computer gescannt
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#14 @forge77

Naja, eigendlich dachte ich daß eine halbwegs kryptische Paßwortvergabe für Schreib- und Lesezugriffe ausreicht.
Wie kann ich die Freigabe nur an mein LAN binden?

#15 kann die angaben nur bestätigen...sobald das c drive freigegeben wird
kommt der wurm erneut über das internet, egal welches passwort!
das kommt von einem bug im WIN-x es gibt aber schon ein bug fix bei microsoft:>>http://download.microsoft.com/download/winme/Update/11958/WinMe/EN-US/273991USAM.EXE<<
update für dieseen bug. Habe upgedated mit dem tool erneut freigegeben, passwort geändert...bis jetzt noch kein neuer wurm. Mein kasperky erkannte bisher immer sofort einen neuerlichen befall, wie gesagt mit diesem Win update ist bis jetzt ruhe.
PS: mich würde auch interessieren wie man ein laufwerk nur für LAN freigibt.

Freundlichst manfred