W32/Opaserv.Worm treibt sein Unwesen

Der Opaserv-Wurm, welcher am 28. September zum ersten Mal aufgetaucht ist, treibt weiter sein Umwesen und deshalb wurde die Risikostufe von 2 auf 3 erhöht. Der Opaserv –Wurm verbreitet sich über frei gegebene Netzwerkverzeichnisse. Er kopiert sich selbst als scrsvr.exe auf den Remote-Rechner. Anschliessend versucht er, von der Site www.opasoft.com ein Update (scrupd.exe) nachzuladen. Um bei jedem Booten erneut geladen zu werden, trägt sich Opaserv in den Schlüssel HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run der Registry ein. Dort kann er unter verschiedenen Namen auftauchen, die jedoch alle den Namensbestandteil scrsrv gemeinsam haben. Zudem legt er im Wurzelverzeichnis des Laufwerks C: die Datei tmp.ini an. Anschliessend modifiziert er die reguläre win.ini so, dass sie über tmp.ini ebenfalls zum Start des Wurms dienen kann. Eine von aussen erfolgte Infektion mit Opaserv lässt sich am Vorhandensein dieser Datei erkennen. Wurde der Wurm lokal bereits ausgeführt, finden sich zudem die Files scrsin.dat und scrsout.dat im Wurzelverzeichnis des C:-Laufwerks.