Al igual que otras versiones, este gusano se activa en fechas
iguales o posteriores al 24 de Diciembre de 2002, llegando a
borrar la información almacenada en la CMOS (BIOS o Setup del
ordenador) y el contenido del disco duro.
Se propaga a través de redes y recursos compartidos.
Nombre: W32/Opasoft.O
Tipo: Gusano de Internet
Alias: Opaserv.O, W32/Opaserv.O
Fecha: 14/ene/03
Tamaño: 28,672 bytes
Plataforma: Windows 32-bits
Fuente: Panda
Una vez producida la infección, Opaserv.O reinicia la
computadora afectada, mostrando el siguiente mensaje dentro
de una ventana de MS-DOS:
NOTICE:
Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act
Your unauthorized license has been revoked
For more information, please call us at:
NOPIRACY
If you are outside the USA, please look up the correct contact
information on our website, at:
www.bsa.org
Business Software Alliance
Promoting a safe & legal online world
Luego de ello, se borra el contenido de la CMOS (BIOS) y del
disco duro. Un examen posterior muestra tres particiones, una
de ellas Novell (debido a la basura que se graba, no porque
realmente lo sea).
El gusano crea los siguientes archivos:
MQBKUP.EXE, en el directorio de Windows. Es una copia del
gusano que contiene el código de infección.
MSBIND.DLL y MSCAT32.DLL, creados en el directorio de
Windows. Contienen información de otras computadoras
infectadas. Ambos archivos están encriptados.
Para realizar su destructivas acciones, el gusano modifica o
crea los siguientes archivos:
C:MSLICENF.COM
C:BOOTSECT.DOS
C:BOOT.EXE
También modifica el contenido de los siguientes archivos:
AUTOEXEC.BAT, introduciendo la siguiente línea:
@MSLICENF.COM
BOOT.INI, añadiendo la siguiente información:
[boot loader]
default=C:
C:=”Previous Operating System on C:”
MSDOS.SYS, introduciendo la siguiente información:
[Options]
Logo=0
Para asegurarse de que sus acciones más destructivas (borrado
de la CMOS y del contenido del disco duro) se produzcan
también en Windows Millennium, modifica los siguientes
archivos de dicho Sistema Operativo:
C:IO.SYS
C:COMMAND.COM (1 byte)
C:WindowsSystemREGENV32.EXE
También crea la siguiente entrada en el registro de Windows,
para poder autoejecutarse en cada reinicio:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
mqbkup = C:WindowsMqbkup.exe
El gusano busca direcciones IP (computadoras) en la red
(incluido Internet) que tengan el puerto 137 abierto. Si
obtiene respuesta, Opaserv.O se trasmite por el puerto 139,
copiándose en el directorio: C:Windows de la computadora
atacada, con el siguiente nombre:
MQBKUP.EXE
Para su eliminación manual ver el siguiente enlace:
W32/Opasoft.A. Se propaga a través del puerto 139
http://www.vsantivirus.com/opasoft-a.htm
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com