El Rinconcito - Noticias

El gusano Opaserv.E
(Extraido de las noticias de Panda Software)

20/10/2002

Se trata de una variante del gusano W32/Opaserv, aparecido el pasado 30 de septiembre y que llegó a posicionarse en los primeros lugares de detección del ActiveScan

Su capacidad para distribuirse a través de redes lo convierte en un código malicioso especialmente peligroso para entornos corporativos

Opaserv se extiende a través de la red y se copia como Brasil.exe o Brasil.pif , quedando residente en el equipo al que afecta. Además, con el objetivo de ejecutarse cada vez que se reinicie el ordenador, genera una entrada en el registro de Windows.

Por otra parte, el gusano intenta conectarse a 2 diferentes direcciones de Internet, con el objetivo de descargar aplicaciones para ejecutarlas en los equipos afectados. Sin embargo, en estos momentos estas direcciones son inaccesibles.

22/10/2002

Ante el aumento de incidencias causadas por este código malicioso, Panda Software ha puesto gratuitamente a disposición de todos los usuarios la aplicación PQREMOVE para eliminar a Opaserv.E de los equipos afectados

El nuevo gusano Opaserv.E, sobre el que ya informó Panda Software, uno de los principales desarrolladores de antivirus, tiene la capacidad de instalarse en los ordenadores sin que el usuario se percate de ello. Así, un gran número de máquinas podrían estar afectadas por este gusano sin que su presencia haya sido detectada.

Esto se debe al método de propagación del que hace uso Opaserv.E. Concretamente, este código malicioso se propaga a través de Internet a la búsqueda de ordenadores susceptibles de ser atacados. Para ello, comprueba si el puerto de comunicaciones 137 se encuentra abierto. Si la respuesta es afirmativa, el gusano entra en el equipo y, desde ahí, se transmite a aquellos ordenadores con los que comparta archivos o recursos aprovechando una conocida vulnerabilidad de Windows 9x y Me.

Por otra parte, el número de incidencias causadas por Opaserv.E y recogidas tanto por la solución online y gratuita Panda ActiveScan , como por los servicios de Soporte Técnico de Panda Software, siguen en aumento y, en estos momentos, este gusano ocupa el cuarto puesto de la lista de virus más frecuentes.

23/10/2002

Panda Software informa sobre las nuevas variantes F y G del gusano Opaserv

El Laboratorio de Virus de Panda Software ha detectado la aparición de dos nuevas variantes del gusano Opaserv, denominadas Opaserv.F y Opaserv.G. Las características de ambos códigos maliciosos son muy similares a las de sus predecesores, incluyendo a Opaserv.E , sobre el que la multinacional española ha informado durante los últimos días. Los Servicios de Soporte Técnico de Panda Software ya han recogido algunas incidencias causadas por estos gusanos, si bien es previsible que vayan en aumento durante las próximas horas.

Además, según los datos de los análisis efectuados por la solución antivirus online y gratuita Panda ActiveScan, Opaserv y Opaserv.E siguen estando presentes entre los cinco primeros virus más frecuentemente detectados. De este modo, la aparición de las dos nuevas variantes multiplica la posibilidad de un ataque.

Opaserv.F y Opaserv.G se propagan en Internet buscando ordenadores que sean susceptibles de ser objeto de sus acciones. Una vez localizados, se introducen en los equipos creando archivos que contienen copias de si mismos con los nombres ALEVIR.EXE (en el caso de Opaserv.F) y PUTA!!.exe (Opaserv.G). Si el equipo afectado comparte archivos o recursos con otros ordenadores, los gusanos se transmitirán a éstos últimos, aprovechando una vulnerabilidad de Windows 9x y Me denominada Share Level Password <http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS00-072.asp> . De esta forma, cualquiera de las variantes de Opaserv puede infectar rápidamente la totalidad de los equipos conectados a una red. Además, los gusanos quedan residentes en los ordenadores e introducen una entrada en el registro de Windows con el fin de ejecutarse cada vez que se reinicien los equipos.

Por otra parte, el ataque por parte de cualquiera de las variantes de Opaserv pasa, en la mayoría de las ocasiones, totalmente desapercibido para el usuario. Esto se debe a que utilizan los puertos de comunicaciones 137 y 139 -que normalmente suelen encontrarse abiertos- para entrar de forma oculta en los equipos. Así, los Servicios de Soporte Técnico de Panda Software han detectado varios casos en que un mismo ordenador alberga hasta tres variantes distintas de Opaserv.