W32.Opaserv.E.Worm – társainál veszélyesebb féregvírus

A féreg paraméterei

Felfedezésének ideje: 2002. október 23.
Védekezés elkészültének ideje: 2002. október 23.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux
Mérete: 24.064 byte
Fertőzések száma: 50-999
Földrajzi elterjedtsége: közepes
Károkozás mértéke: alacsony
Eltávolítása: közepesen nehéz

Aktiválódása esetén lezajló események

– leellenőrzi a BrasilOld bejegyzés meglétét a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban
– amennyiben létezik, a féreg letörli azt az állományt, amire a bejegyzés mutat
– ha nem létezik, akkor a féreg megkeresi a Brasil érték meglétét a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcsban, ha nem létezik, hozzáadja a Brasil C:/WINDOWS/Brasil.exe vagy a Brasil C:/WINDOWS/Brasil.pif bejegyzést
– leellenőrzi, hogy a következő két állomány már volt-e futtatva/megnyitva: C:/Windows/Brasil.exe, C:/Windows/Brasil.pif
– ha nem, ezen a neveken felmásolja magát és hozzáadja a BrasilOld bejegyzést a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run Registry kulcshoz
– létrehozza a Brasil31415 nevű mutexet, hogy biztos lehessen abban, csak egyszer került futtatásra
– amennyiben még nem futott, akkor service processként regisztrálja magát
– a C meghajtó megosztásaiba felmásolja magát Brasil.exe vagy Brasil.pif néven
– Windows 9x/Me alatt ki tud használni egy biztonsági hiányosságot, melynek révén a jelszó ismeretének hiányában is képes hozzáférni a megosztott meghajtókhoz; az ezt javító patch a lenti linkről tölthető le
– módosítja a Win.ini állományt, a következő sor adja hozzá: run= c:/Windows/Brasil.exe,c:/Windows/Brasil.pif