病毒名稱
Win32.Opaserv.A其它名稱
W32.Opaserv.Worm,W32/Scrup.worm,Worm.Win32.Opasoft病毒屬性
蠕蟲病毒危害性:低危害流行程度:中具體介紹
Win32.Opaserv是一種通過共享Windows驅動器傳播的蠕蟲,並且在2002年10月初開始大範圍傳播。運行的時,蠕蟲會拷貝自己到Windows目錄下。隨後添加下面的健值到註冊表中以便每次Windows啟動時這份拷貝都被運行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvr="%Windows%\ScrSvr.exe"
蠕蟲也創建下面的這個註冊表健值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvrOld="ScrSvr.exe"
這個鍵值設定病毒初始運行的檔案,隨後該健值被刪掉
檔案ScrSin.dat和ScrSout.dat也將被創建在%Windows%目錄下。
蠕蟲利用了Windows 95, 98, 98SE及ME在驗證網路共享密碼時的一個老漏洞,通過Windows Networking(SMB)網路來拷貝自己。簡而言之,上述沒有打補丁的作業系統會被欺騙成接受一個單字元密碼,而不管原來的共享密碼實際上的長度。微軟在2002年10月為這個漏斗出了一個補丁。問題的主要描述和補丁下載的地址以及安裝說明可以訪問下面的這個微軟安全報告:
http://www.microsoft.com/technet/security/bulletin/ms00-072.asp
所有開放了檔案及列印共享的Windows 95, 98, 98SE及ME用戶都應該安裝這個補丁。雖然上面這個安全報告給出的安裝建議毫無說服力,但你真的應該考慮這個重要的升級。利用代碼,允許遠程的密碼發現相對應的共享級別的密碼,這是從上述漏洞一被發現之後就有的,但Opaserv是第一個懂得利用這個弱點的壞件(malware,新一代主動式惡意代碼的統稱)。
這個關於共享級別密碼的漏洞只影響到非NT版的Windows。且它只影響通過共享級別訪問許可權得到的共享,Windows 9x及ME作為域的部分及僅套用了用戶級別(或域)訪問控制的機器不會受到此漏洞影響。
早期關於Opaserv的報告指出,Opaserv通過不設密碼的共享和只有簡單密碼的共享服務傳播。但這是錯誤的。Opaserv隨機選擇IP利用上面所提及的共享級別的密碼漏洞特別是C:盤的共享密碼來進行傳播。如果蠕蟲搜尋到共享資源,它會嘗試複製自己到共享資源的\WINDOWS\scrsvr.exe下。
蠕蟲會嘗試訪問Web站點下載scrupd.exe檔案來升級自己。但是這個伺服器已經被關閉了,所以它不會給大家帶來更多的恐懼了。
