Opasoft - neuer SchädlingThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
01.10.2002, 19:56
Ehrenmitglied
Beiträge: 2283 |
||
|
||
02.10.2002, 09:05
Ehrenmitglied
Beiträge: 1148 |
#2
Opa-Soft?
Ist das eine Senioren Software Firma? Ich liebe solche lustigen Namen... Hier etwas aus McAfee - Avert: Zitat
__________ So wird mein Post von allen gelesen.. Dieser Beitrag wurde am 02.10.2002 um 09:06 Uhr von sh4rk editiert.
|
|
|
||
02.10.2002, 09:12
Ehrenmitglied
Themenstarter Beiträge: 2283 |
#3
Der BSI hat folgendes dazu:
Name: W32.Opaserv.Worm Alias: W95/Scrup.worm[McAfee] Art: Wurm Betriebssystem:Windows 32 bit Verbreitung: mittel Schadensfunktion: bekannt seit: 30. September 2002 W32.Opaserv.Worm ist ein netzwerkfähiger Wurm, der sich über freigegebene Laufwerke verbreitet. Dabei kopiert er die Datei "scrsvr.exe" auf die Freigaben. Weiterhin versucht er ein Update des Wurms von der URL: www.opasoft.com. Weitere Informationen unter http://www.bsi.bund.de/av/vb/opaserv.htm R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
02.10.2002, 09:22
Ehrenmitglied
Beiträge: 1148 |
#4
In deinem vorherigen Artikel steht, dass opasoft.com schon geschlossen ist.
Dadurch kann sich der Wurm nicht updaten. Zur Beseitigung muss man sich nur die aktuellen Virendefinitionen runterladen, die Festplatte scannen und alle infizierten Dateien löschen. __________ So wird mein Post von allen gelesen.. |
|
|
||
03.10.2002, 15:09
Ehrenmitglied
Themenstarter Beiträge: 2283 |
#5
Ergänzung:
As was reported on October 1st, the Internet suffered a new epidemic courtesy of the "Opasoft" worm, which aggressively asserted itself as one of the three most widespread malicious programs by recording numerous incidences in a myriad of countries the world over. Currently, 40% of all cases Kaspersky Labs technical support is dealing with are connected to Opasoft, a figure exceeding even those of other dangers worms such as "Klez" and "Tanatos". Distinguishing "Opasoft" is the way it spreads over the Internet. The worm scans the global network and determines which computers are running Windows 95/98/ME and on which to attempt to gain access to drive C. Next, "Opasoft" goes through access passwords to these resources and if it is successful in gaining access it promptly infects victim machines with copies of itself. To search infected computers "Opasoft" uses communications ports (137 and 139) accepted in Windows networks for exchanging data. It is precisely this fact that these ports are targeted for hacker attack. This together with the circumstance that so many users and system administrators do not follow secure policies for computer resources, predetermined the rapid spread of the Opasoft worm. Kaspersky Labs strongly recommends taking the following actions in order to avert the possibility of "Opasoft" penetration: Home Users must check if any computer services have been assigned for user files or printers. To do this, users should right click on the Network Neighborhood icon, select Properties and click on File and Printer Sharing. A window opens showing the current status of services, if system access to services has been established inappropriately users can then correct it. If a user knowingly opens access to Disk C, it is then necessary to make certain that it is password protected with a long password with no less than two symbols. System Administrators are recommended to protect access to ports 137 and 139 from external access. On all computers that must transmit data to external networks via these ports, it is important to check the shared resources list to make sure they are properly password protected. Finally, Internet Providers are also recommended to close ports 137 and 139 to their clients and open them only upon special request to execute specific tasks. Kaspersky Labs points out that "Opasoft" infects only computers running Windows 95/98/ME, therefore the measures outlined above are not needed for computers using other operating systems, for example, Windows 2000 or Windows XP. Please become familiar with the updated technical description of the "Opasoft" network worm in the Kaspersky Virus Encyclopedia: http://www.viruslist.com/eng/viruslist.html?id=52256 __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
11.10.2002, 11:46
dl5dsm
zu Gast
|
#6
opasoft-Virus ist mit den tools von Symantec nicht zu entfernen.
Er regeneriert sich automatisch nach einer undefinierten Zeitschleife. Was kann man noch tun? |
|
|
||
11.10.2002, 12:09
Ehrenmitglied
Beiträge: 1148 |
#7
Hast du schon mal tools von anderen Herstellern ausprobiert?
Also mal bei McAfee, F-Secure und anderen vorbeischauen. __________ So wird mein Post von allen gelesen.. |
|
|
||
11.10.2002, 12:17
Ehrenmitglied
Themenstarter Beiträge: 2283 |
#8
Du kannst Dich an Symantec wenden und Dein Problem schildern, oder Du postest mal die genauen Umstände und wir schauen dann mal.
R. __________ powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ... |
|
|
||
12.10.2002, 00:20
Marco
zu Gast
|
#9
Ich konnte diesen Wurm nur stoppen indem ich die Freigabe des Laufwerk C: aufgehoben habe und anchließend beseitigt habe.
Gibt es noch eine andere Möglichkeit, trotz Laufwerks-Freigabe? |
|
|
||
12.10.2002, 01:52
Moderator
Beiträge: 6466 |
#10
http://www.kaspersky.com/de/news.html?id=948025
Kaspersky bietet auch ein Tool an; beinhaltet Erkennung/Entfernung für Bugbear (Tanatos) und Opasoft __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
12.10.2002, 14:00
forge77
zu Gast
|
#11
@Marco
Du willst dein Laufwerk doch gar nicht freigeben... jedenfalls nicht für die ganze Welt! Und genau das tust du offensichtlich, denn der Wurm kopiert sich immer wieder von irgendwo auf der Welt auf dein freigegebenes Laufwerk, auf das JEDER (Schreib-)Zugriff hat! Du darfst die Dateifreigabe nur an dein LAN binden, nicht an das Internet-Interface. |
|
|
||
12.10.2002, 14:33
dl5dsm
zu Gast
|
#12
Ja, es sieht so aus als ob der Wurm immer wieder über das freigegebene Laufwerk c: neu vom Internet eingespielt wurde.
Ich habe jetzt eine Firewall installiert und das Laufwerk gesperrt. Seitdem ist erst mal Ruhe. Ich danke Euch |
|
|
||
12.10.2002, 15:22
Member
Beiträge: 1516 |
#13
Verbreitet der sich nicht auf Netzlaufwerken du sitzt du in einen Netzwerk sind
alle anderen Computer gescannt __________ °<- Vorsicht Trollköder und Trollfalle -> {_} |
|
|
||
12.10.2002, 23:58
Marco
zu Gast
|
#14
@forge77
Naja, eigendlich dachte ich daß eine halbwegs kryptische Paßwortvergabe für Schreib- und Lesezugriffe ausreicht. Wie kann ich die Freigabe nur an mein LAN binden? |
|
|
||
14.10.2002, 01:12
manfred
zu Gast
|
#15
kann die angaben nur bestätigen...sobald das c drive freigegeben wird
kommt der wurm erneut über das internet, egal welches passwort! das kommt von einem bug im WIN-x es gibt aber schon ein bug fix bei microsoft:>>http://download.microsoft.com/download/winme/Update/11958/WinMe/EN-US/273991USAM.EXE<< update für dieseen bug. Habe upgedated mit dem tool erneut freigegeben, passwort geändert...bis jetzt noch kein neuer wurm. Mein kasperky erkannte bisher immer sofort einen neuerlichen befall, wie gesagt mit diesem Win update ist bis jetzt ruhe. PS: mich würde auch interessieren wie man ein laufwerk nur für LAN freigibt. Freundlichst manfred |
|
|
||
Kaspersky Labs, an international data-security software developer,
announces the emergence of already the second virus epidemic this week.
This time, the multi-component program "Opasoft" combines the
characteristics of a network worm and a Trojan program designed to gain
unauthorized remote control of infected computers. At this time the
Kaspersky Labs round-the-clock technical support service has received
confirmed reports of "Opasoft" infections in Russia, France, Germany,
the UK, Korea among other countries with the amount of events on the
increase.
"Opasoft" spreads through and between local area networks. After
penetrating a computer the worm copies itself to the Windows system
directory under the name "SCRSVR.EXE". In order to launch itself upon
operating system restart, "Opasoft" registers this file in the Windows
registry auto-run key, and additionally modifies the WIN.INI
initialization file.
"Opasoft's" Trojan component is designed to accomplish unauthorized
remote control of infected machines. Specifically, the "Opasoft" worm
connects to the www.opasoft.com Web site, where it downloads its updated
versions (if there are any) and launches on the infected computer
malicious script programs. The indicated web site is already closed,
therefore the described Trojan functions are no longer operative.
Presently, three modifications of the Opasoft worm are known. The
defense against all three has already been added to the Kaspersky
Anti-Virus databases.
More detailed information covering the Opasoft worm are available in the
Kaspersky Virus Encyclopedia at:
http://www.viruslist.com/eng/viruslist.html?id=52256.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...