Win32.Opaserv.A

Win32.Opaserv是一種通過共享Windows驅動器傳播的蠕蟲,並且在2002年10月初開始大範圍傳播。

基本介紹

  • 外文名:Win32.Opaserv.A
  • 病毒屬性::蠕蟲病毒 
  •  危害性::低危害 
  •  流行程度::中
基本信息,具體介紹,補丁,

基本信息

病毒名稱:Win32.Opaserv.A
其它名稱:W32.Opaserv.Worm,W32/Scrup.worm,Worm.Win32.Opasoft

具體介紹

運行的時,蠕蟲會拷貝自己到Windows目錄下。隨後添加下面的健值到註冊表中以便每次Windows啟動時這份拷貝都被運行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvr="%Windows%\ScrSvr.exe"
蠕蟲也創建下面的這個註冊表健值:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvrOld="ScrSvr.exe"
這個鍵值設定病毒初始運行的檔案,隨後該健值被刪掉
檔案ScrSin.dat和ScrSout.dat也將被創建在%Windows%目錄下。
蠕蟲利用了Windows 95, 98, 98SE及ME在驗證網路共享密碼時的一個老漏洞,通過Windows Networking(SMB)網路來拷貝自己。簡而言之,上述沒有打補丁的作業系統會被欺騙成接受一個單字元密碼,而不管原來的共享密碼實際上的長度。微軟在2002年10月為這個漏斗出了一個補丁。

補丁

所有開放了檔案及列印共享的Windows 95, 98, 98SE及ME用戶都應該安裝這個補丁。雖然上面這個安全報告給出的安裝建議毫無說服力,但你真的應該考慮這個重要的升級。利用代碼,允許遠程的密碼發現相對應的共享級別的密碼,這是從上述漏洞一被發現之後就有的,但Opaserv是第一個懂得利用這個弱點的壞件(malware,新一代主動式惡意代碼的統稱)。
這個關於共享級別密碼的漏洞只影響到非NT版的Windows。且它只影響通過共享級別訪問許可權得到的共享,Windows 9x及ME作為域的部分及僅套用了用戶級別(或域)訪問控制的機器不會受到此漏洞影響。
早期關於Opaserv的報告指出,Opaserv通過不設密碼的共享和只有簡單密碼的共享服務傳播。但這是錯誤的。Opaserv隨機選擇IP利用上面所提及的共享級別的密碼漏洞特別是C:盤的共享密碼來進行傳播。如果蠕蟲搜尋到共享資源,它會嘗試複製自己到共享資源的\WINDOWS\scrsvr.exe下。
蠕蟲會嘗試訪問Web站點下載scrupd.exe檔案來升級自己。但是這個伺服器已經被關閉了,所以它不會給大家帶來更多的恐懼了。

相關詞條

熱門詞條

聯絡我們