21 października 2002

Worm.Win32.Opasoft.a (znany również jako "Brasil") - szczegółowy opis robaka

Jest to modyfikacja robaka "Opasoft" wykryta między 19 i 20 października 2002 roku. Większość operacji wykonywanych przez szkodnika jest identyczna, jak w przypadku poprzednika.

Oto różnice w porównaniu z pierwotną wersją robaka:

 1. Plik, w którym rozprzestrzeniał się robak Opasoft nie był skompresowany, natomiast "Brasil" atakuje komputery z pliku zaszyfrowanego przy użyciu narzędzia "PCPEC" i spakowanego za pomocą programu "UPX".

 2. Zmieniły się teksty zapisane w kodzie szkodnika, przykładowo:

  "ScrSvr", "ScrSin" -> "Brasil"
  "ScrSout" -> "Brasil!"
  "scrupd" -> "puta!!"
  "www.opasoft.com" -> "www.n3t.com.br"

W rezultacie zachowanie wersji "Brasil" jest nieco inne od oryginału lecz procedury rozprzestrzeniania oraz backdoor są identyczne.

Instalacja

Robak instaluje się w folderze Windows z nazwą "brasil.exe" lub "brasil.pif" (w zależności od wersji "Brasil") i tworzy klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Brasil = %nazwa robaka%

Rozprzestrzenianie

Podczas infekowania zdalnego komputera szkodnik kopiuje się do niego z nazwą "brasil.exe" lub "brasil.pif" i dopisuje odpowiednią komendę do pliku WIN.INI.

Backdoor

Procedura backdoor łączy się ze stroną WWW "www.n3t.com.br" i wykonuje następujące czynności:

 • pobiera i uruchamia swoją uaktualnioną wersję (jeżeli taka istnieje),
 • pobiera i przetwarza skrypt umieszczony na stronie.

Uaktualniona wersja zapisywana jest do pliku "puta!!.exe", który następnie jest uruchamiany, co powoduje zastąpienie aktywnej kopii szkodnika.

Podczas pracy backdoor wykorzystuje pliki "Brasil.dat" oraz "Brasil!.dat", które zaszyfrowane są za pomocą skomplikowanego algorytmu.