製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:O
ウイルス情報
ウイルス名危険度
W32/Opaserv.worm
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4226
対応定義ファイル
(現在必要とされるバージョン)
4226 (現在7607)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名BackDoor-ALB
Backdoor.Opasoft
Bck/Opasoft (Panda)
W32.Opaserv.Worm (Symantec)
W32/Opaserv.ai
W95/Scrup.worm
Worm.Win32.Opasoft (AVP)
WORM_OPASOFT (Trend)
亜種W32/Opaserv.worm.c, W32/Opaserv.worm.b, W32/Opaserv.worm.d, W32/Opaserv.worm.e, W32/Opaserv.worm.f, W32/Opaserv.worm.g, W32/Opaserv.worm.h, W32/Opaserv.worm.i, W32/Opaserv.worm.j, W32/Opaserv.worm.k, W32/Opaserv.worm.l, W32/Opaserv.worm.m, W32/Opaserv.worm.n, W32/Opaserv.worm.o, W32/Opaserv.worm.p, W32/Opaserv.worm.q, W32/Opaserv.worm.r, W32/Opaserv.worm.s, W32/Opaserv.worm.t, W32/Opaserv.worm.u, W32/Opaserv.worm.v
情報掲載日02/10/02
発見日(米国日付)02/09/28
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/29RDN/Generic....
10/29Generic.bfr!...
10/29Generic Drop...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7607
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

2003年12月24日更新情報
新たな亜種(.ai)が発見されました。この亜種はnatal!.pifという名前でサイズは17,478バイトです。


2003年9月19日更新情報
新たな2つの亜種(.acおよび.ad)が発見されました。これらのサイズは26,064バイトです。


2003年3月6日更新情報
新たな亜種(W32/Opaserv.worm.s〜v)が発見されました。既知の亜種はすべて定義ファイルにて検出できます。亜種のリストは以下の「亜種情報」の項目にあります。


2003年01月16日更新情報
新たな亜種(W32/Opaserv.worm.n〜r)が発見されました。既知の亜種はすべて4243DATアップデートで検出できます。亜種のリストは以下の「亜種情報」の項目にあります。


2002年11月11日更新情報
新たな亜種(INSTIT.BAT 21,504 バイト)が発見されました。


2002年10月30日更新情報
新たな亜種(MARCO!.SCR 12,080 バイト)が発見されました。定義ファイル 4231 で対応しています。


2002年10月25日更新情報
新たに2つの亜種(ともに 28,672 バイト、未圧縮)が発見されました。ひとつは、定義ファイル 4226 以降で検出できますが、もうひとつは定義ファイル 4231 で対応します。


2002年10月22日更新情報
新たに2つの亜種(ともに 24,064 バイト,UPX 圧縮)が発見されました。これらの亜種はブラジルのウイルス作成グループ「AlevirusSCS」によって作成されました。一つの亜種ウイルスは自身を %WinDir%\BRASIL.PIF として、もう一つの亜種は %WinDir%\BRASIL.EXE としてインストールします。これらは、(UPX圧縮前に)暗号化され、ミューテックス "Brasil31415" という異なる自己認知を使用します。"c:\put.ini" にファイルをドロップ(作成)する可能性があります。アップデートのために、"www.n3t.com.br" というウェブサイトを使用します。


2002年10月15日更新情報
AVERT は、駆除後にネットワーク/インターネットに接続したマシンが、再度感染する報告を受け取っています。リモート感染中に、このウイルスは自身をコピーする前に、リモート win.ini に 'run=' 行を追加します。リモートシステムが対応定義ファイル/エンジンを使用していれば、スキャナーがファイル書き込みの警告をします。共有の保護をお勧めします。(駆除方法を参照下さい)


2002年10月7日更新情報
このウイルスの亜種が多数発見されています。この情報掲載時までに発見された亜種は、すべて定義ファイル 4226 で検出可能です。


2002年10月2日更新情報
メディアの注目がある為、危険度を "低 [要注意]" に変更しました。

  • このウイルスにはバグがあるため、多くの WindowsNT/2K/XP システムでは自己繁殖できません。

  • このウイルスは、リモートでアクセス可能なシステムの STARTUP フォルダに自身をコピーするか、自身を Windows ディレクトリにコピーし、Win.ini 起動キーを作成してシステムの起動をフックすることで、ネットワークを介して繁殖しようとします。

ローカル感染

  • ターゲット マシンで実行されると、%WinDir%\ScrSvr.exe として自身をコピーします。システムの起動をフックするために、次のレジストリ キーを設定します。

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "ScrSvr" = %WinDir%\ScrSvr.exe

  • このウイルスは、リモートの URL(この情報掲載の時点では存在しませんでした)にアクセスしようとします。

リモート感染

  • このウイルスは NetBIOS トラフィック(UDP)を大量に発生します。このウイルスの活動の初期の徴候のひとつは、ポート 137 でファイアウォールのヒットが増加したことでした。このトラフィックは、連続した IP 範囲を超えて WINS 照会を発信するウイルスにより、引き起こされます。
  • テスト時に見られた繁殖の方法は、主に以下のようなものです。
    • WINS 照会を発信します(NetBIOS 名を得るため)。
    • 次に、リモート マシンへの NetBIOS セッションを設定しようとします。
    • 設定に成功すると、SMB コマンドを使用して(リモート マシンで開いている 'C' 共有ネットワークを要求して)\\%machinename%\C へ接続し、繁殖しようとします。セキュリティ パッチがインストールされていないと、パスワードで保護された共有ネットワークも感染します。

      ※注:セキュリティ パッチをインストールしても、共有をパスワードで保護しなければ感染してしまいます。

    • 繁殖時に自身をリモート マシンの \Windows\ScrSvr.exe にコピーしようとします。
    • 起動時にウイルスが実行されるように、例えば以下のような実行キーをリモート マシンの WIN.INI に追加します。

      Run= 'C:\WINDOWS\SCRSVR.EXE'

  • このウイルスは、ローカル サブネット上のすべてのマシンに上記の方法で繁殖しようとします(各 WINS 照会の IP アドレスの最後のオクテットを増加しながら、サブネット中で繁殖しようとします)。
  • 次に、テスト時には、IP 範囲が A.B.(C+1).0 から A.B.(C+1).255 のマシンに上記の方法を行うことが見られました(A.B.C.x はローカル サブネット)。
  • その後、ランダムに開始される IP アドレスから、連続して上記の方法が繰り返されました(例えば、16.13.145.5 から 16.13.145.255)。最後のオクテットが 255 まで増加すると、新しく開始される最初の IP が照会されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
  • 下記のいずれかが存在する。
    • %WinDir%\ScrSvr.exe
    • C:\SCRSDAT.IN, C:\SCRSDAT.OUT (ローカル感染)
    • C:\TMP.INI (リモート感染)
  • 下記のどちらかのレジストリキーが存在する。
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run"ScrSvr" = %WinDir%\ScrSvr.exe
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run"ScrSvrOld" = (filename executed, if not %WinDir%\ScrSvr.exe)
  • 感染マシンからポート 137 で大量のトラフィックが発生する。

感染方法TOPへ戻る
  • このウイルスは、ネットワーク共有を介して繁殖する。

駆除方法TOPへ戻る
  • W32/Opaserv.worm (似たようなネットワーク共有感染ウイルス)に再度感染しない為に、Microsoft からの 「共有レベルのアクセス制限パスワード」の脆弱性に対する対策 (MS00-072) パッチをインストールして下さい。下記のOSに関係します。
    • Microsoft Windows 95
    • Microsoft Windows 98
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows ME
  • Win9x/ME ユーザーの方は、TCP/IP プロトコルからファイルとプリンタの共有サービスを選択しないようにすることをお勧めします。
    1. Windows 9x/ME のデスクトップ上のネットワークコンピュータを右クリックし、プロパティを選択します。
    2. TCP/IP プロトコルのネットワークアダプタを選択します。(例:TCP/IP → 3Com Ethernet Adapter)
    3. プロパティ ボタンを押します。
    4. バインディング タブを選択します。
    5. "ファイルとプリンタの共有" にチェックがあれば、チェックを取ります。
    6. "OK" を2度クリックして、再起動します。
  • このウイルスは、リモートシステムに自身をコピーした後、リモートシステムの WIN.INI ファイルを改変します。そのため、ウイルススキャンは WIN.INI の変更が発生する前にウイルスを検出し、取り除きます。ウィンドウズ起動時に「SCRSVR.EXE(または別のファイル名)が見つかりません」というエラーメッセージが表示された場合、以下の手順に従って修復して下さい。
    1. 「スタート」 → 「ファイル名を指定して実行」 をクリック。
    2. 「WIN.INI」と入力し、ENTER を押す。
    3. RUN= 行に移動し、= 以降に書かれているファイル名(ie. C:\WINDOWS\SYSTEM\SCRSVR.EXE)を削除。
    4. 「ファイル」 → 「閉じる」をクリックし、変更を保存する有無の表示が出た場合は「はい」を選択。