W32.Opaserv.Worm
Type:
Internet Worm
Besturing:
Microsoft Windows
Datum:
--> 1 oktober 2002 <--
Risico:
Laag
Bron:
(c) 2002, VirusAlert

Nieuw virus infecteert netwerk

--> Door: Redactie Security.nl op ma 07 okt 2002 11:43 <--
'Bugbear is nog niet uitgeraasd of een nieuw virus dient zich al weer aan. De nieuwe worm, genaamd Opasoft

snelle jongens hoor

Aliassen:
W95/Scrup.worm
BackDoor-ALB

--> Backdoor.Opasoft <--

"Bugbear is nog niet uitgeraasd of een nieuw virus dient zich al weer aan. De nieuwe worm, genaamd Opasoft, heeft het voorzien op computers met Windows 95, 98 en ME., meldt Infoworld. Het virus verspreidt zich via slecht beveiligde Windows-shares."

Daaronder moet je verstaan Windows 9x/ME shares die met passwords beveiligd zijn (of niet, in dat geval is het heel makkelijk) en die niet gepatcht zijn voor Microsoft vulnerability MS00-072, een twee jaar geleden verschenen security bulletin. Dit virus is erg succesvol omdat het automatisch -binnen erg korte tijd- passwords kraakt.

http://www.microsoft.com/technet/security/bulletin/MS00-072.asp

"Volgens Infoworld zou het virus updates ophalen op www.opasoft.com, maar deze hostnaam bestaat inmiddels niet meer, dus vanuit die hoek is weinig gevaar te duchten. "

Je zou al besmet moeten zijn voordat de worm naar die site gaat. De site was overigens al snel down gehaald.

"In de statistieken van anti-virusdiensten als Pine en Messagelabs komt het virus niet voor, dus de verspreiding lijkt op dit moment minimaal te zijn."

Dit is echt b*ll sh*t. Dit virus verspreidt zich niet via e-mail maar via shares. MessageLabs en Pine controleren geen netwerkverkeer maar mailverkeer.

W32/OpaServ is de succesvolste share worm ooit. Het is ook succesvoller dan IIS worms als Code Red of Nimda, succesvoller zelfs dan andere network worms. Tel sinds 27 september (!) het aantal connection attempts naar UDP 137 maar eens op een willekeurige computer die aan Internet is gekoppeld. De kans is groot dat die van geinfecteerde computers afkomstig zijn.