HOME情報セキュリティ情報セキュリティ対策ウイルス対策新種ウイルス「W32/Opaserv」に関する情報

本文を印刷する

情報セキュリティ

新種ウイルス「W32/Opaserv」に関する情報

2002年11月 8日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

※追記すべき情報がある場合には、その都度このページを更新する予定です。

このウイルスはネットワークで共有されているフォルダにウイルスをコピーすることで感染を広めます。

定義ファイルの更新等によりワクチンソフトを最新の状態にするとともに、C:ドライブの共有設定を解除する等の対策が必要です。

ワクチンソフトの定義ファイルに更新していないと発見できないことがあります。各ワクチンベンダーのWebサイトを参照して、最新のウイルス定義ファイルに更新してください。

>> ワクチンソフトに関する情報

影響を受けるコンピュータ

Windowsパーソナルコンピュータ

概要

このウイルスは、Windows32ビット環境(Windows95.98.ME.NT.2000,XP)で動作するウイルスで、共有されているコンピュータのWindowsフォルダに「ScrSvr.exe」という名前でウイルスファイルをコピーすることで感染します。(亜種により作成されるファイル名が異なります。)

ウイルスが実行されるとレジストリの
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
を参照し、「ScrSvrOld」の値の有無を確認します。存在する場合はその値を削除し、参照されているファイルを削除します。存在しない場合は、「ScrSvr」という値で「ScrSvr.exe」のフルパスを登録します。

コンピュータの起動時にウイルスが実行されるように、「win.ini」ファイルを改変します。また、WEBサイトからウイルスをダウンロードして実行します。(現在、ウイルスが指定しているサイトは閉鎖されています。)

ウイルスは、WindowsフォルダにScrSin.dat、ScrSout.dat、Cドライブのルートにtmp.iniを作成します。

(注)
Windows95、98、Meのセキュリティホールを利用していますので、パスワードを設定して共有していても感染してしまいます。下記マイクロソフトのページを参照し、修正プログラムを適用してください。

「共有レベルのアクセス制限パスワード」の脆弱性に対する対策 (MS00-072)
http://www.microsoft.com/japan/technet/security/bulletin/MS00-072.asp

修復に関する注意事項

感染してしまった場合の修復方法は、レジストリの修正が必要となります。手動による修復方法は、下記ワクチンソフトウェアベンダーのサイトにも掲載されていますが、コンピュータに関する高度な知識が必要であり、特にレジストリの修正等は少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意が必要です。

また、無償の修復用ツールがワクチンベンダーから配布されているので、そちらを使う方法も有効です。 各ベ ンダーが記述している「使用上の注意」をよく読み、自己の責任において使用してください。

修復ツール提供サイト

参考情報

ワクチンソフトウェアベンダー提供の情報(日本語)

ウイルス対策のトップページこちらをご覧ください。

更新履歴

2002年11月 8日 掲載