W32.Opaserv.Worm

Virus assai insidioso per le reti, scoperto in data 30 settembre 2002. Il worm si autoreplica attraverso le condivisioni di rete e si insedia sul pc remoto col nome di Scrsvr.exe (in startup all’interno del file Win.ini oppure della chiave di registro HKLM Software Microsoft Windows CurrentVersion Run). Una volta eseguito W32.Opaserv.Worm riesce ad accedere a tutte le condivisioni di rete protette da una password di un singolo carattere (o sprovviste di password) e tenta di scaricare aggiornamenti da www.opasoft.com, sito peraltro giù chiuso. Indici della presenza del virus: a) la presenza dei files Scrsin.dat e Scrsout.dat nella root di C: (infezione locale); b) la presenza del file Tmp.ini nella root di C: (infezione da host remoto). Per rimuovere il virus Opaserv consigliamo di adoperare il fix di Symantec dopo aver seguito alcuni piccoli accorgimenti: a) scollegare il cavo di rete; b) disabilitare il System Restore in Windows ME/XP (lo si potrà riattivare a pc disinfettato); c) lanciare il fix anche in modalità provvisoria e anche al riavvio della macchina successivo alla pulizia, per esser sicuri che ogni traccia virale venga rimossa. Scheda tecnica su SymantecScheda tecnica su Central CommandPreleva la Cura by Symantec