2003年02月06日 11:00

WORM_OPASERV.Q


別 名: W32/Opaserv-J, Worm.Win32.Opasoft.f, W32/Opaserv.worm.N, W32/Opaserv.worm, I-Worm/Opas.Q, オパサーブ

危険度: 低
感染報告: 低
破壊力: 低
感染力: 中


特 徴:

 これはワームに分類される「トロイの木馬型」不正プログラムです。自身のコピーをネットワーク上の共有ドライブにコピーして頒布するワーム活動を行います。また、侵入したネットワーク内のコンピュータ名とドメイン名をハッカーサイトに送信する情報漏洩型ハッキングツール的機能も持っています。


 尚、これは「共有レベルのパスワード」の脆弱性に対する対策 (MS00-072)」の脆弱性を利用しており、Window9x/Meマシンでマイクロソフト社から発行されている最新のセキュリティパッチを導入していない場合、パスワードを知らなくてもファイル共有リソースにアクセス可能となり、パスワードが設定されていても感染する事があります。

 また「WORM_OPASERV」本体ファイルにファイル感染型ウイルスの「PE_FUNLOVE.4099」や「PE_SPACES.1445」が感染しているという報告があります。

 このワームに対応した駆除ツールを用意いたしました。
この駆除ツールは「PE_FUNLOVE.4099」、「PE_SPACES.1455」にも対応しています。
詳細は以下をご参照ください。

「WORM_OPASERV」、「WORM_BUGBEAR.A」両用修復ツール

また、以下の手順にて手動でも修復が行えます:


対応方法:

 検出したファイルはすべて削除してください。単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。ウイルスバスターなどウイルス対策製品で「ウイルス発見時の処理」の設定が「ウイルス駆除」になっている場合「駆除失敗」と表示されますが正常な表示です。

注意:
ネットワークを共有している場合、一度ワームを削除しても再度ワームが検出される場合があります。また、共有設定を行っていなくてもデフォルトで共有設定されている場合があります。ネットワーク共有をしないように設定してください。設定方法に関してはご使用のWindowsのサポート先へご確認ください。

・侵入方法:
 ネットワーク上の共有ドライブからWindowsフォルダを探し出し、ファイルコピーが行われ侵入します。また、OSがWindows9x/Meだった場合にはシステム改変が行われ、次回OS起動時にワームが自動起動されてしまう場合があります。

・感染確認方法:
 ワームが活動/侵入した場合はワームのコピーである"SRV32.EXE"ファイルがWindowsフォルダに作成されます。またWindowsのレジストリや設定ファイルである"win.ini"が改変されます。

 また、ワームはネットワークの検索にSMBプロトコルを使用するため、トレンドマイクロ製パーソナルファイヤーウォールなどのファイヤーウォールソフトによって NetBIOS Browsing の警告がされる場合があります。

・感染していた場合の対処:
 ワームを実行してしまい、コンピュータのシステムが改変された場合には以下の方法でシステムの修復を行う必要があります。

・手動削除手順:
注意:ネットワークに感染を広げるワームですので感染コンピューターはまずネットワークから切断することをお勧めします。
1) 不正プログラムの自動起動設定を削除します。
・Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。

場所: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\RunServices
値:
"Srv32Old"
"Srv32"

・Windowsのシステムエディタ(sysedit.exe)などを使用して "win.ini" 内の"RUN="の項目から"<Windowsフォルダ>\SRV32.EXE"の値を削除して、感染前の状態に直してください:

<例>
修正前:"RUN = <Windowsフォルダ>\SRV32.EXE"
修正後:"RUN ="

2) コンピュータを再起動し、最新のバージョン(エンジン、パターン)を導入したウイルス対策製品を用い、ウイルス検索を実行してください。このワームは「WORM_OPASERV.Q」として検出します。検出したファイルはすべて削除してください。

 駆除後、Windows起動時にエラーメッセージが表示されるようになってしまう場合があります。これは上記 "win.ini" のシステム修復が正常に行われていないものと考えられます。上記の 1)の "win.ini" の修復を再度確認してください。
註:WindowsフォルダはWindowsの種類とインストール時の設定などにより異なります。デフォルト設定では、

 Windows 9x/Me の場合
  Windowsフォルダ = C:\Windows

 Windows NT/2000 の場合
  Windowsフォルダ = C:\WinNT

 Windows XP の場合
  Windowsフォルダ = C:\Windows

 です。

 

 
ウィルス名
  • WORM_OPASERV.Q

  • 発見日
    2003年01月
分類
  • ワーム
発生場所
  • 世界中
感染対象
  • Windows系全て

参考(情報 / 駆除方法など)