W32/Opasoft (Opaserv)

Dieser Wurm ist bei Symantec als W32.Opaserv.Worm [1] bekannt, Kaspersky nennt ihn [2] Worm.Win32.Opasoft und bei McAfee hat man ihm die Bezeichnung W32/Opaserv.worm [3] verpasst. Wie bei McAfee und F-Secure [4] zu lesen ist, seien PCs mit Windows 95/98 oder Windows ME aufgrund verminderter Netzwerk-Sicherheit besonders anfällig.

Der Opasoft-Wurm kopiert sich mit dem Dateinamen SCRSVR.EXE in den Autostart- oder Windows-Ordner einer im Netzwerk freigegebenen Festplatte und versucht von der Webseite www.opasoft.com weitere Dateien (z.B. scrupd.exe) herunterzuladen. Die Webseite wurde inzwischen entfernt.

Wird die Wurm-Datei ausgeführt, legt der Wurm in diesem Registry-Schlüssel

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

diese zwei Einträge an:

ScrSvr C:\Windows\ScrSvr.exe

ScrSvrOld (Original-Name der Wurmdatei)

Nun durchsucht der Wurm das lokale Netzwerk nach freigegebenen Systemlaufwerken und kopiert sich mit dem Namen ScrSvr.exe in deren Windows- bzw. Autostart-Ordner. Der Schädling fügt (je nach Windows-Version) der Datei WIN.INI in der Zeile "run=" den Eintrag c:\tmp.ini hinzu und legt unter c:\ eine Datei tmp.ini ab, die diesen Befehl enthält:

run= c:\windows\scrsvr.exe

Um eine Ansteckung zu verhindern, geben Sie in Ihrem Netzwerk kein Systemlaufwerk frei, halten Sie Ihre Virendefinitionen auf dem neuesten Stand und führen Sie keine Dateien aus, die wie aus heiterem Himmel auf Ihrem PC auftauchen.

Den Wurm entfernen Sie wie folgt, falls Ihr PC bereits angesteckt ist:

Entfernen Sie alle Netzwerk-Freigaben oder setzen Sie ein mindestens drei Zeichen langes Kennwort.

Aktualisieren Sie Ihren Virenscanner mit den neuesten Virendefinitionen, scannen Sie alle Laufwerke und löschen Sie alle Dateien, die Ihr Virenscanner als Opasoft identifiziert. Starten Sie den Registry-Editor und gehen Sie zu diesem Schlüssel:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Löschen Sie darin diese Einträge, falls vorhanden:

ScrSvr C:\Windows\ScrSvr.exe

ScrSvrOld (Original-Name der Wurmdatei)

Öffnen Sie die die Datei C:\Windows\WIN.INI und entfernen Sie den Eintrag "c:\tmp.ini" aus der Zeile, die mit "run=" beginnt. Nun löschen Sie auch noch die Datei tmp.ini und die Dateien scrsin.dat und scrsout.dat, die der Wurm direkt in C:\ ablegt.

Eine weitere Beschreibung zum Opasoft-Wurm finden Sie beispielsweise auch bei Norman [5].

Weitere Informationen:

Es sind inzwischen zahlreiche neue Varianten [6] des Opasoft/Opaserv-Wurms aufgetaucht. Hauptsächlich unterscheiden sich diese vom ersten Opaserv-Wurm durch die verwendeten Dateinamen. So werden von diesen "Neuerscheinungen" etwa Dateinamen wie die folgenden verwendet: BRASIL.PIF, BRASIL.EXE, ALEVIR.EXE, MARCO!.SCR, INSTIT.BAT, MQBKUP.EXE, MSBIND.DLL. Das bedeutet, dass auch die Registry-Einträge, die der Wurm erstellt, entsprechend anders heissen.

Microsoft hat zudem Informationen über die Sicherheitslücke [7] veröffentlicht, die vom Wurm missbraucht wird.