Worm.Opasoft.q

病毒别名：W32.Opaserv.AE.Worm

处理时间：2004-03-23

威胁级别：★

中文名称：

病毒类型：蠕虫

影响系统：Win95/Win98/WinMe

病毒行为:

编写工具:

传染条件:

A、该病毒所利用的网络共享文件夹密码校验漏洞在局域网内传播。

B、该病毒不传染 WinNT/Win2000/WinXP/Win2003 系统。

发作条件:

系统修改:

A、运行后尝试创建一个名为4wsDosFDPS!的互斥量，如果已经存在该互斥量，则退出程序，以确保每次只有一个实例在运行。

B、将病毒自身拷贝到 %SystemRoot%Natal.scr

C、检查

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

下是否存在该值

Natal!Old

如果存在该值，则将其删除。

D、在注册表的主键:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

中添加如下键值:

"Natal"="%SystemRoot%Natal.scr"

以便该病毒在每次重启 Windows 时执行。

E、在Win.ini文件中的[windows]节添加以下两行

run= c:windows

atal.scr

run= c:lammer!

以便该病毒在每次重启 Windows 时执行。

发作现象:

A、运行后，立即删除自身。

B、通过利用Win95/Win98/WinMe的共享文件夹密码校验漏洞漏洞，在不知道完整密码的情况下，直接将自身以 Natal.scr 的文件名写入网络上共享的可写文件夹。

特别说明:

A、该病毒所利用的网络共享文件夹密码校验漏洞的官方描述以及补丁下载地址所在的页面地址如下：

http://www.microsoft.com/technet/security/bulletin/MS00-072.mspx