製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:O
ウイルス情報
ウイルス名危険度
W32/Opaserv.worm.n
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4240
対応定義ファイル
(現在必要とされるバージョン)
4786 (現在7401)
対応エンジン5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名Opas
QZap248
W32/Opaserv-H (Sophos)
W32/Opaserv.M (Panda)
情報掲載日03/01/07
発見日(米国日付)02/12/30
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
03/31RDN/Generic....
03/31StartPage-NY...
03/31PWS-Banker.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7401
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

ウイルスの特徴TOPに戻る

・W32/Opaserv.worm.nにはバグがあるため、WindowsNT/2000/XPシステム上では自己複製できません。

・W32/Opaserv.worm.nは、共有ネットワーク上で繁殖しようとします。リモートでアクセス可能なマシンのWINDOWSディレクトリにMSTASK.EXEとして自身をコピーし、WIN.INIファイルの起動キーを使用してシステム起動時に読み込むようにします。

ローカル感染

・ターゲットマシンでウイルスが実行されると、%WinDir%\mstask.exeとして自身のコピーを作成します。2度実行しないように、ミューテックス“mstask35263”を作成します(このミューテックスが既に存在する場合は、プロセスを終了させます)。次のレジストリキーを作成して、システムの起動をフックします。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "mstask" = %WinDir%\mstask.exe

リモート感染

・このウイルスは、NetBIOSトラフィック(UDP)を大きく増加させます。TCPポート137のトラフィックが増加してファイアーウォールにヒットしたことから、早い時期にこのウイルスが活動していることがわかりました。このトラフィックは、連続するIPアドレスの範囲全体にWINSクエリーを発信するウイルスが原因です。

・テストで判明した繁殖メカニズムの概要は、以下のとおりです。

●WINSクエリーを発信して、NetBIOS名を取得します。

●リモートマシンへNetBIOSセッションを確立しようとします。

●成功した場合は、SMB(Server Message Block)コマンド(リモートマシン上で開いている“C”共有ドライブを要求する)を使用して\\%machinename%\Cに接続し、繁殖を試みます。セキュリティパッチがインストールされていないと、パスワードで保護された共有ネットワークにも感染します。

注:パッチがインストールされていても、共有ネットワークがパスワードで保護されていなければ、ウイルスに感染します。

●繁殖時に、リモートマシンの\Windows\mstask.exeに自身のコピーを作成しようとします。

●リモートマシンのWIN.INIに実行キーを追加し、システム起動時にウイルスを実行するようにします。(例:Run= 'C:\WINDOWS\MSTASK.EXE')

・このウイルスは、上記の方法でローカルサブネット上のすべてのマシンに繁殖を試みます(各WINSクエリーのIPアドレスの末尾のオクテットを増加させます)。

・テストでは、IPアドレスの範囲がA.B.(C+1).0からA.B.(C+1).255まで(A.B.C.xは、ローカルサブネット)のマシンに上記のメカニズムで繁殖しました。

・その後、ランダムに開始されるIPアドレスから上記の繁殖メカニズムを繰り返しました。(例:16.13.145.5から16.13.145.255まで)最後のオクテットが255になると、新たに開始されるIPアドレスが照会されます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

・以下のいずれかのファイルが存在する。

●%WinDir%\MSTASK.EXE
●%WinDir%\MSBIND.DLL
●%WinDir%\MSCAT32.DLL
●C:\WIN.INI (リモート感染の場合)

・以下のいずれかのレジストリキーが存在する。

●HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "mstask" = %WinDir%\mstask.exe

・WIN.INIファイルに次の新しいセクションが作成される。

●[msappfont]
value=%value%
font=%value%
style=%value%

・感染マシンから多量のTCPポート137のトラフィック(UDP)が発生する。

感染方法TOPへ戻る

・このウイルスは、共有ネットワークを介して繁殖する。

発病ルーチン

・このウイルスはトロイの木馬“C:\MSLICENF.COM”(定義ファイル4240で“QZap248”として検出)を落とし込もうとする。このトロイの木馬は、ブートセクタの上書き、CMOSの削除、ハードディスクの中身の消去を行う。また、AUTOEXEC.BATファイルにこのファイルの参照を追加する。次に、BOOT.EXEファイル(定義ファイル4240で“Reboot-V”として検出)を落とし込んでシステムを再起動させ、ファイルを実行する。再起動すると.COMファイルが実行され、次のメッセージを表示する。

NOTICE:

Illegal Microsoft Windows license detected!
You are in violation of the Digital Millennium Copyright Act!

Your unauthorized license has been revoked.

For more information, please call us at:

1-888-NOPIRACY

If you are outside the USA, please look up the correct contact
information on our website, at:

www.bsa.org

Business Software Alliance
Promoting a safe & legal online world.

駆除方法TOPへ戻る