Security Lab

Worm.Win32.Opasoft.s

Worm.Win32.Opasoft.s

Вирус-червь. Распространяется по локальным сетям через открытые сетевые ресурсы. Имеет размер 17920 байт, упакован ASPack. Размер распакованного файла около 25 КБ.

Вирус-червь. Распространяется по локальным сетям через открытые сетевые ресурсы. Имеет размер 17920 байт, упакован ASPack. Размер распакованного файла около 25 КБ.

Признаком заражения компьютера является наличие файла "srv32.exe" в корневом (%windir%) каталоге Windows.

Размножение

При запуске червь копирует себя в каталог Windows с именем "srv32.exe" и регистрирует данный файл в ключе автозапуска:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "Srv32"="%windir%\Srv32.exe"

Червь также создает дополнительный ключ в реестре, для идентификации своего присутствия в системе:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SRV32]

Червь пытается скопировать себя в корневой каталог Windows на другие компьютеры в локальной сети, если на них имеются открытые сетевые ресурсы. Затем он модифицирует файл "win.ini" на удаленном компьютере, таким образом, чтобы получить управление при следующем запуске системы.

Прочее

Червь пытается соединиться с сайтом украинского оператора мобильной связи (http://sim-sim.com) и оправить SMS с указанием IP-адреса зараженного компьютера на номер +7050196ХХХХ.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!