mensaje
es variable. El archivo adjunto tiene doble extensión,
por ejemplo .doc.pif , la última extensión puede
ser cualquiera de las siguientes: .pif .scr y .exe
Otro de los ataques de esta amenaza combinada (blended treta)
lo hace creando una rutina de Backdoor, mediante la cual se abre
el puerto 36794 y escucha comandos del hacker o creador del virus.
Entre los comandos permitidos se ejecutan las siguientes acciones:
Borrar archivos, Terminar procesos, Listar procesos y entregar
la lista al Hacker, Copiar archivos, Ejecutar procesos, Listar
archivos y entregar la lista al Hacker, Entregar los passwords
interceptados al hacker (de manera encriptada), Esto puede liberar
información confidencial que se tecleó en la computadora
incluyendo passwords, detalles del Log In y archivos de trabajo.
La entrega de la información al sistema del Hacker viene
de la siguiente manera: User: Procesador, Versión de Windows,
Información de la memoria
Drives locales (por tipo y características físicas),
Puede listar también los recursos de red, tipo de recurso
y entregar la lista al Hacker. Symantec cuenta ya con detección
completa en las definiciones de septiembre 30, así como
con la publicación de la herramienta de limpieza en el
sitio de respuesta a incidentes de Symantec desde la misma fecha:
W32.opaserv.worm
Es un gusano que se distribuye a través de recursos compartidos
en la Red. Se copia a sí mismo en la computadora remota
como un archivo de nombre scrsvr.exe. El gusano intenta bajar
actualizaciones del sitio www.opasoft.com el cual ya no está
disponible. Algunos indicadores de infección son los siguientes:
* Si se tienen los archivos scrsin.dat y scrsout.dat en la raíz
del disco C. Esto indica infección local (el gusano fue
ejecutado en esta computadora).
* La existencia del archivo tmp.ini en el directorio raíz
del disco C (esto indica una infección remota)
* La llave de registro HKEY_LOCAL_MACHINE\So ftware\Microsoft\Windows\
currentversion\Run conteniendo el valor scrsvr ó scrsvrold
SYMANTEC cuenta ya con detección completa en las definiciones
de Septiembre 30, así como con la publicación de
la herramienta de limpieza en el sitio de Respuesta a Incidentes
de Symantec desde la misma fecha.
Atentamente:
Departamento de Servicios de Red. Universidad Veracruzana