W32.Opaserv.Worm

[נועם@בת]

../images/Emo67.gif W32.Opaserv.Worm

אז עשיתי את טעות חיי וניסית להתחבר לדואר של אינטרנט זהב, קיבלתי מהם שני מכתבים ותולעת

(בדיוק כמו שקרה לי לפני כמה חודשים, אבל אז לא קישרתי). בכולופן, אני לא מצליחה להפטר ממנה. וכמו להכעיס, בדיוק בזמן כתיבת ההודעה הזאת מזנקת לי הודעה של הנורטון על עוד תולעת שנלקחה לקרנטינה. אבל החמור מכל, שלשום, לפני שקלטתי שהמחשב נגוע, הייתי מחוברת כמה שעות, וכשכיביתי את המחשב קיבלתי הודעה שכיבוי המחשב יביא לניתוק יוזר נוסף שמחובר אלי. אמאל´ה, המחשב שלי לא מחובר לרשת הביתית, וגם אם היה מחובר, פרט לחתול לא היה אף אחד בבית. מישהו התעלק לי על המחשב בעזרתה האדיבה של התולעת. האם הפריצה הזאת יכולה להיות חד פעמית, או שמי שנכנס למחשב לקח איתו אינופרמציה וחייבים לשנות סיסמאות וכאלה. נכנסתי לאתר של סימנטק, קראתי, וביצעתי את מה שהבנתי, אבל אני מניחה שלא הבנתי הכל. ביצעתי את הפעולות הבאות. בדקתי ברג´יסטרי HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ולא מצאתי שם אזכור ל- ScrSvr %windir%\ScrSvr.exe ScrSvrOld <original worm name> בwin.ini מחקתי את run= c:\ScrSvr.exe לא מצאתי קובץ c:\tmp.ini, אבל מצאתי קובץ c:\put.ini וגם ממנו מחקתי את run= c:\ScrSvr.exe. הורדתי את הכלי FixOpsrv.exe, הרצתי אותו והוא הודיע לי בגאווה שלא נמצא אצלי W32.Opaserv.Worm. כיביתי הדלקתי הרצתי שוב, ושוב לא נמצא. מה שלא הפריע לנורטון לתפוס אותו שוב. מישהו יכול לעזור?

...|פרצוף מתחנן נורא| תודה נועם

 

[uzi2]

אם

אם המחשב שלך הוא חלק מרשת ביתית, אז נא לספר כיצד המערכת מחוברת לאינטרנט (איזה מחשב הוא השרת והאם מחובר דרך ראוטר, או דרך כרטיסי רשת, וכדומה). מערכת הפעלה של המחשב שמחובר ישירות לאינטרנט תעזור. אם המחשב שלך אינו מחובר לרשת פרטית, אז הסיפור יותר פשוט. אחרי ניקוי הוירוס וכאשר אינך מחוברת לאינטרנט, יש להכנס ל- Control Panel ומשם ל- Network ומשם ל- File and Print sharing ולדאוג שהם לא יהיו מסומנים. זהו. הוירוס (הספציפי הזה) לא יוכל להכנס אלייך למחשב. סיסמאות כדאי להחליף ולו רק בגלל שכמו שהוירוס/תולעת הזה נכנס כך גם כל אחד עם קצת ידע יכל להכנס. אם מאיזו סיבה יש לך למשל מחשב נייד שמדי פעם מתחבר למחשב הרגיל, אז לאחר השינוי שרשמתי נא לחזור הנה ולבקש הנחיות נוספות, כי כיבוי ה- File and print sharing לא יאפשר לך רשת עם המחשב הנייד אלא אם תפעלי לפי הנחיות נוספות.

 

[uzi2]

ועוד כמה מילים

* העובדה שמצאת את ה- put.ini מצביע על כך שמדובר בואריאנט חדש מאוד של התולעת הזאת. יש שניים שמוסיפים את ה- put.ini וחלק מהם מוסיפים עוד קובץ בשם brasil.exe או brasil.pif בתיקיית החלונות (יתכן שלא תראי את הסיומות בהתאם לאיך הדברים מוגדרים אצלך). * העובדה שהואריאנט הזה חדש אומרת ששווה לבדוק עדכונים גם ממש כל יום כרגע. * יש לוודא אחרי ביטול ה- file sharing שגם אחרי restart עדיין ה- file sharing מכובה. * התולעת הזאת לא נכנסת דרך דואר אלקטרוני אלא רק דרך ה- file sharing, אם כי הואריאנט החדש מנסה לעדכן את עצמו דרך אתר מסויים בברזיל, ולכן אם לא יסגרו את האתר, אז אצל אנשים שלא הסירו אותו הוא יוכל לעדכן את עצמו מהאתר וע"י כך להוסיף לעצמו יכולות ולשנות את עצמו. נכון לרגע זה עדיין אמצעי ההפצה היחיד שלו הוא ה- file sharing, ולכן ביטול ה- file sharing מונע ממנו לחדור.

 

[נועם@בת]

בינגו הוא באמת הוסיף לי

לwin.ini את run c:\windows\Brasil.pif,c:\windows\Brasil.exe,c:\windows\scrsvr.exe אחפש את הקבצים האלה ואנקה. אגב, אחרי שניקיתי הכל, עכשיו שוב הc:\windows\scrsvr.exe , מופיע לי בWIN.INI כרגע אני לא מחוברת לרשת הביתית, רק למודם אורכית של ADSL. אם יש לך עוד קצת סבלנות, את המוכן להסביר לי מה פירוש "דרך ה- file sharing". המון תודה על התגובה העניינית והמפורטת. נועם

 

[נועם@בת]

פעלתי לפי ההוראות שלך

מחקתי את הטפילים הברזילאים (היה קשה, הPIF נמחק רק אחרי הריסטרט). הורדתי את הברזילאי מהרג´יסטרי (ששש... אל תגלה לאף אחד שנגעתי ברג´יסטרי בלי לעשות גיבוי קודם

). מחקתי את הקובץ put.ini ביטלתי את האפשרות לשיתוף קבצים (עם בעלי ירצה לחבר את הלפטופ שלו, נצטרך להתארגן מחדש). אחרי הכל עשיתי שבו ריסטרט והפעלתי את כלי הניקוי של סימנטק, הוא כמובן איתר סוף סוף את התולעת, ניקה את הwin.ini ומחק עוד קובץ. עוזי, שוב תודה על הכל. נעים לדעת שאי שם באמצע הלילה יש מי שמקשיב, עונה ועוזר

נועם

 

[uzi2]

הסבר וכמה מילים

בעיקרון, על מנת לחבר את ה- Laptop הוגדרו שיתוף קבצים ומדפסות, כדי שמהלפטופ יוכלו להכנס לתיקיות שבדסקטופ. רק שזה הוגדר בצורה שאיפשרה גם לכל האינטרנט לראות את התיקיות ולשים שם קבצים או למשוך משם קבצים. ניתן להגדיר את שיתוף התיקיות בצורה אחרת כך שהן ישותפו רק עם הלפטופ ולא עם כל רחבי האינטרנט. אם תרצי לדעת תשאלי.

 

[נועם@בת]

תודה על ההסבר

לא נראה לי שתהיה לבעלי בעיה להסתדר. המחשב הזה הוא מחשב ישן שהוכנס זמנית לשימוש (אחרי שהספק של החשד שבק) מבלי ששמנו לב לדקויות. תודה נועם