Antivirus and Security Software from Sophos

W32/Opaserv-A

Alias
  • Opasoft
Catégorie
Type
Action à mener
Prévalence faible Forte

Récapitulatif

 
Détecté par Tous les produits Sophos
Download Détection des virus gratuite
Test de détection des menaces
  • Détection gratuite des virus et spywares
  • Vérification de votre protection antivirus actuelle
  • Votre antivirus est-il vraiment efficace ?

Action

Veuillez suivre les instructions de suppression des vers.

Veuillez lire les instructions de suppression des vers.

Avant de réaliser la désinfection, fermez toute connexion internet.

Edition du fichier win.ini

Dans la barre des tâches, cliquez sur Démarrer|Exécuter. Entrez 'Sysedit'. Faîtes passer Win.ini au premier plan. Recherchez toute référence aux fichiers que vous avez supprimé. Effacez ces références.

Windows NT/2000/XP

Sous Windows NT/2000 vous devrez supprimer de la base de registre la clé suivante. Cette suppression est optionnelle sous Windows 95/98/Me.

Dans la barre des tâches de Windows, sélectionnez Démarrer|Exécuter. Tapez "Regedit". L'éditeur de registre s'ouvrira.

Avant d'éditer le registre, vous devrez faire une sauvegarde du registre. Dans le menu Registre, cliquez sur Exporter le fichier du registre, dans Etendue de l'exportation, sélectionnez Tout puis sauvegardez votre registre.

Recherchez l'entrée sous HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ ScrSvr = C:\WINDOWS\ScrSvr.exe

et supprimez-la si elle existe.

Fermez l'éditeur de registre.

Après l'édition du fichier win.ini et de la base de registre

Redémarrez votre ordinateur.

Si les fichiers suivants existent à la racine du lecteur C:

tmp.ini
scrsin.dat
scrsout.dat

supprimez-les.

Vous devrez aussi vérifier tous les lecteurs partagés ouverts sur votre ordinateur, plus particulièrement ceux ouverts à internet.

Plus d'informations

W32/Opaserv-A est un ver qui se propage via les partages réseau.

Lorsqu'il est exécuté, le ver crée un fichier nommé scrsvr.exe dans le dossier Windows du lecteur en cours. W32/Opaserv-A ajoute alors dans la base de registre l'entrée suivante pour s'exécuter lorsque le système redémarre :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ScrSvr =
C:\WINDOWS\ScrSvr.exe

Le ver parcourt une gamme d'adresses IP du réseau local afin de trouver des ordinateurs avec un partage C: ouvert et NETBIOS activé via TCP/IP. Lorsqu'un partage est trouvé, le ver se copie dans le dossier Windows de ce partage et modifie le fichier win.ini pour que le ver s'exécute la prochaine fois que Windows est exécuté sur l'ordinateur. Une fois le réseau local parcouru, le ver commence à réaliser la même recherche sur internet en débutant par une adresse IP générée aléatoirement. Alors, toute personne connectée sur internet avec un partage de fichier activé et NETBIOS activé sur TCP/IP est potentiellement vulnérable à ce ver.

W32/Opaserv-A essaie aussi de se connecter sur un site Web qui est actuellement indisponible. Cette tentative de connexion est probablement réalisée dans le but de mettre à jour le fichier exécutable du ver.

Les trois fichiers non vérolés suivants peuvent être trouvés dans le dossier racine des systèmes infectés :

tmp.ini
scrsin.dat
scrsout.dat

RSS|Atom
Rapports sur les menaces de virus et de spywares les plus récentes envoyées à votre ordinateur