Si tratta di un virus residente in memoria che si diffonde sfruttando
le cartelle condivise da Windows, nella rete. Scarica, da opportuni siti,
copie di se stesso sulle cartelle condivise. Altri nomi con cui è
possibile incontrare l’infezione sono: Backdoor.Opasoft, OPASOFT e W32.Opaserv.Worm
PROPAGAZIONE
Esegue una scansione delle macchine dello stesso dominio o gruppo di lavoro
e accede alle cartelle condivise utilizzando il protocollo SMB (Server
Message Block Protocol). Si registra come processo e rintraccia informazioni
del tipo nome macchina, dominio e invia le informazioni al sito http://www.op<blocked>soft.com.
Copia il file SCRSVR.EXE nella directory C:\Windows, sostituendo il file
originale, in modo che l’infezione venga eseguita dal sistema al posto
del processo originale. Crea il file SCRSIN.DAT e SCRSOUT.DAT nella directory
C:\, che servono per il collegamento al sito e l’invio delle informazioni
ricavate dal sistema.
Modifica il registro di configurazione, aggiungendo le chiavi necessarie
per l’esecuzione automatica.
ISTRUZIONI PER RIMUOVERE IL VIRUS
1. Riavviare il PC in modalità provvisoria e scollegare il cavo
di rete;
2. Aprire il registro di configurazione di Windows e aprire la chiave:
HKEY_LOCAL_MACHINE – SOFTWARE – MICROSOFT – WINDOWS – CURRENTVERSION
– RUN
3. Nella parte destra della finestra cancellare la voce:
ScrSvr = C:\Windows\ScrSVr.exe
4. Aprire il file WIN.INI che si trova nella cartella C:\WINDOWS. Nella
sezione [windows] cercare la riga che iniza con “run=”
e cancellare “C:\Windows\SCRSVR.EXE”;
5. Aprire il Task Editor di Windows e terminare i processi relativi
all’infezione;
6. Eseguire la scansione del sistema con un antivirus aggiornato;
7. Ricollegare il cavo di rete e riavviare il PC.