Opaserv : pourquoi il revient toujours ?

Le
NutsDz
Bonjour,


Je passe brièvement sur le pourquoi de la situation mais la voici :
Sur un pc (win98 mis a jour) j'ai installé un norton 2004 mis a jour
régulièrement. C un pc dans une entreprise (avec trois machines) qui n'a
pas d'accès internet mais qui partageait des dossiers avec la machine
connectée à internet.
Hier, j'ai du installer sur cette machine un logiciel de VNC (ultraVNC,
mais j'ai essayé avec tightVNC c idem) pour que le gars qui a vendu le
logiciel de gestion puisse faire de la prise de controle à distance.
Comme le pc a un modem (pas d'ADSL dans l'entreprise) j'ai fait un
acces libre, lance la connexion et attendu que le gars vienne se
connecter. Et depuis, c le bazar : norton s'excite toutes les 5 minutes
en indiquant qu'il vient de détecter différentes versions du virus
Opaserv (les fichiers en questions sont scrsvr.exe, brasil.pif,
marc!.scr,instit.bat, les classiques pour ce ver).

Ma question c'est comment est ce que ces virus arrivent sur la machine
? Et pourquoi est ce qu'ils reviennent toujours ? J'ai revérifié sur le
site de microsoft, le windows est à jour !! A priori, il n'y a pas de
probleme puisque l'AV a bloqué les fichiers mais c quand même un peu
embetant. Surtout que le fichier Win.ini est modifié lui ! donc le virus
doit bien s'executer à un moment non ?
Est ce que le probleme est lie au VNC ? Le type qui vient se connecter
me dit avoir 1 av a jour (c une "grosse" boite), mais ca coincide quand
meme avec l'installation de ce soft (et le connexion internet aussi c
vrai). le vnc ecoute par défaut sur le port 5900, est ce que c un port
connu pour ce virus ?
Je suis preneur de toutes vos lumière car je nage un peu. Merci
d'avance de votre aide.

Christophe.
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Sebastien.B
Le #1115458
Slt

Voici la description de secuser sur le virus Opaserv:

Opaserv est un virus qui se propage via les dossiers partagés, mais qui n'est
pas capable de se propager par email. Le virus se copie dans le répertoire
Windows sous le nom SCRSVR.EXE puis modifie la base de registres afin d'être
exécuté à chaque démarrage du système. Opaserv tente ensuite de se propager aux
autres ordinateurs du réseau en se copiant dans les dossiers laissés en partage
ouvert. Il tente enfin d'accéder à une URL distante (opasoft.com) pour se mettre
à jour, mais le site semble avoir été fermé.
(http://www.secuser.com/alertes/2002/opaserv.htm)

Le virus se sert donc des dossiers partages pour se propager, essaye de voir si
une des autres PC n'est pas infecte.

Voici le patch microsoft:
http://www.microsoft.com/technet/security/bulletin/MS00-072.mspx

Puis l'utilitaire de desinfection:
http://securityresponse.symantec.com/avcenter/FixOpsrv.exe

Passe en un coup pour etre sur que tu n'as pas ete infecte.
joke0
Le #1115322
Salut,

NutsDz:
Je passe brièvement sur le pourquoi de la situation mais
la voici : Sur un pc (win98 mis a jour) j'ai installé un
norton 2004 mis a jour
régulièrement. C un pc dans une entreprise (avec trois
machines) qui n'a pas d'accès internet mais qui partageait des
dossiers avec la machine connectée à internet.


Parce que les partages sont mal protégés ou/et les windows pas patchés.

Ma question c'est comment est ce que ces virus arrivent
sur la machine
? Et pourquoi est ce qu'ils reviennent toujours ?


Tout est résumé ici:
http://www.lacave.net/~jokeuse/usenet/nettoyer.html#opaserv

Désactiver NetBios aide évidemment. A appliquer _strictement_.

--
joke0

NutsDz
Le #1492577
Merci pour ces remarques. J'ai déjà appliqué tout cela sur les 3 pc du
réseau (patch microsoft, utilitaire de désinfection), mais c'était
"pareil". Y'a pas de "nouvelle version" du ver ?? Par contre, j'ai
changer le port d'écoute de VNC, et ça ne semble pas s'être reproduit
(personne ne m'a rien dit depuis hier donc...). Mais si vous dites que
ca n'a rien à voir, je vais continuer de chercher.

---
Christophe.
Poster une réponse
Anonyme