Opasoft.K (algunos antivirus denominan esta versión con la letra ‘M’ entre otras) es similar en sus funciones a Opasoft.A, y se propaga a través de los recursos compartidos con acceso permitido (unidad C). Se aprovecha de una vulnerabilidad que permite el acceso remoto aún sin conocer la contraseña, en caso de tenerla.
Nombre: W32/Opasoft.K (Opaserv.M)
Tipo: Gusano de Internet
Alias: Worm/OpaSoft.H, W32.Opaserv.H, W32/Opaserv.worm.n,
W32.Opaserv.K.Worm, W32/Opaserv.M, Win32.Opaserv.J
Fecha: 27/dic/02
Plataforma: Windows 32-bits
* Diferencias de la versión ‘K’:
A diferencia de otras versiones, no posee carga destructiva,
solo se propaga a través de unidades de red compartidas. Para
ello modifica el archivo WIN.INI y los archivos del registro
de Windows.
Cuando esta versión del gusano (que ha sido comprimida y
encriptada), detecta una unidad C accesible a través de los
recursos compartidos, copia el archivo MSTASK.EXE en el
directorio de Windows de dicha unidad:
C:WindowsMSTASK.EXE
‘C:Windows’ puede variar de acuerdo a la versión de Windows
instalada (por defecto ‘C:Windows’ en Windows 9x/ME/XP o
‘C:WinNT’ en Windows NT/2000).
Al mismo tiempo, en las máquinas remotas, el gusano crea un
archivo llamado WIN.INI en el raíz de la unidad C, copiando
el contenido del archivo C:WindowsWIN.INI original en él.
Luego agrega la siguiente entrada en la sección [windows] de
WIN.INI:
Run = C:WindowsMSTASK.EXE
Después copia el contenido de C:WIN.INI sobre
C:WindowsWIN.INI (para impedir su reinstalación, se debe
eliminar también el archivo C:WIN.INI).
Esto permite que el archivo MSTASK.EXE se ejecute al
reiniciarse la computadora remota.
Con el mismo objetivo, también agrega la siguiente clave al
registro de Windows:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Mstask = C:WindowsMSTASK.EXE
* Forma de propagación
Este gusano posee la capacidad de propagarse a través de
recursos compartidos en redes de computadoras usando el
puerto 139 (Netbios, NETBeui). Si su computadora tiene activa
la opción “Compartir impresoras y archivos para redes
Microsoft”, podría ser accedida a través de Internet, y por
lo tanto ser infectada con este gusano. Netbios utiliza
además el puerto 137 para la búsqueda del “nombre de Windows”
correspondientes a los recursos compartidos.
Para estas acciones, el gusano hace uso del protocolo de
comunicación llamado SMB (Server Message Block Protocol), el
cuál es empleado por los sistemas operativos basados en MS-
Windows para acceder a los recursos compartidos de una red, a
través del puerto 139 (NetBeui en sistemas Microsoft
Windows).
Para acceder a estos recursos, el gusano se aprovecha de una
vulnerabilidad conocida desde hace mucho tiempo, respecto a
la forma en que Windows (95, 98, 98 SE y Me) verifica las
contraseñas en una red compartida, de modo que puede llegar a
aceptar un solo carácter (letra o número), sin importar lo
larga que sea la contraseña.
La corrección para esta falla en esos sistemas operativos,
está disponible desde octubre de 2000
(http://www.microsoft.com/technet/security/bulletin/ms00-
072.asp).
Todos los usuarios que utilicen la opción de compartir
archivos e impresoras con Windows 95, 98, 98 SE y Me, deben
descargar e instalar el parche desde dicho enlace.
Desde que la falla fue revelada, existen códigos que explotan
esta vulnerabilidad, pero Opasoft es el primer gusano que se
aprovecha realmente de la misma.
Esta falla no afecta ni a Windows NT, ni 2000 ni XP.
Adicionalmente, en las versiones vulnerables de Windows solo
pueden verse afectados recursos compartidos con el mismo
nivel de acceso permitido (dominio), y en Windows 95, 98, 98
SE y Me, solo existe el nivel de usuario.
Los primeros reportes de Opasoft sugerían que podía
propagarse a través de recursos abiertos (sin contraseñas), y
para evitar su propagación se aconsejaba no mantener estos
configurados sin autenticación mediante contraseñas. Esto es
incorrecto. Opasoft se propaga explotando la vulnerabilidad
mencionada, intentando específicamente copiarse al recurso
“C”, que es el nombre por defecto para el raíz de la unidad
de disco “C:”, siempre que tenga el acceso de lectura y
escritura habilitados, o también a través de direcciones IP
seleccionadas al azar.
No corregir esta vulnerabilidad, hace que todo procedimiento
de desinfección sea inútil, ya que una computadora volvería
a
infectarse al conectarse a una red o a Internet.
La presencia de un cortafuegos que bloquee el acceso mediante
Netbios, también impide la propagación del gusano (como
ZoneAlarm a nivel doméstico, por ejemplo).
El hecho que el servidor desde donde el gusano podría
actualizarse mediante la descarga de un archivo, haya sido
dado de baja, hace que el único riesgo que este gusano
presenta por el momento, es el de su propagación.
Las instrucciones para remover este gusano son las mismas que
para el Opasoft.A: http://www.vsantivirus.com/opasoft-a.htm
* Más información:
W32/Opasoft.A. Se propaga a través del puerto 139
http://www.vsantivirus.com/opasoft-a.htm
W32/Opasoft.B. Variante del Opasoft.A en la calle
http://www.vsantivirus.com/opasoft-b.htm
W32/Opasoft.D. Nueva variante y cómo se propaga
http://www.vsantivirus.com/opasoft-d.htm
W32/Opasoft.F. Se copia en “C:WindowsAlevir.exe”
http://www.vsantivirus.com/opasoft-f.htm
W32/Opasoft.G. Se copia en “C:WindowsPuta!!.exe”
http://www.vsantivirus.com/opasoft-g.htm
W32/Opasoft.H. Se copia como “MARCO!.SCR”
http://www.vsantivirus.com/opasoft-h.htm
W32/Opasoft.I. Se copia como “INSTIT.BAT”
http://www.vsantivirus.com/opasoft-i.htm
W32/Opasoft.J. Usa “MQBKUP.EXE”, borra duro y CMOS
http://www.vsantivirus.com/opasoft-j.htm
W32/Opasoft.K. Usa “MSTASK.EXE” para propagarse
http://www.vsantivirus.com/opasoft-k.htm
El ISC advierte sobre aumentos de escaneos al puerto 137
http://www.vsantivirus.com/30-09-02.htm
Curiosidades del puerto 137
http://www.vsantivirus.com/p137.htm
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com