平成１４年１０月３日


　平素はネットウェーブ四国のインターネットサービスをご利用いただきまして、
誠にありがとうございます。

　自分のコピーをネットワーク上の共有ドライブにコピーして繁殖する特徴を持つ
ウィスルの感染報告が急増しております。下記の情報をご参照ください。

１　情報源

〇トレンドマイクロ
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?Vname=WORM_OPASOFT.A

○日本ネットワークアソシエイツ
　http://www.nai.com/japan/virusinfo/virO.asp?v=W32/Opaserv.worm

〇シマンテック
　http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.opaserv.worm.html


２　概要

　このウイルス（別名W32.Opaserv.worm、WORM_OPASOFT.A、Backdoor.Opasoftな
ど）は、Windows32ビット環境（Windows95.98.ME.NT.2000.XP）で動作するウイル
スです。


３　特性

　オープンなネットワーク共有を介して感染を拡大するネットワーク認識型ワーム
です。このワームは自分自身をリモートマシン上にScrsvr.exeファイルとしてコピ
ーします。また、このワームはwww.opasoft.comからアップデートをダウンロード
しようとします。ただし、このサイトが既に閉鎖されている可能性があります。この
ワームに感染すると、次のような徴候が見られます。

・Cドライブのルートディレクトリにscrsin.datおよびscrsout.datファイルが存在す
　る場合、ローカル感染を示しています(つまり、ワームがローカルコンピュータ上
　で実行されてしまっています）。

・Cドライブのルートディレクトリにtmp.iniファイルが存在する場合、リモート感染
　(リモートホストからの感染)を示します。

・HKLM\Software\Microsoft\Windows\Current Version\Runレジストリキーに、ScrSvr
　またはScrSvrOldという値が含まれ、その値にc:\tmp.iniに設定されています。


４　対応方法

(1) 当該ウイルスに対応したワクチンデータに更新
(2) 各ベンダーの駆除ツールを利用する。
〇シマンテック
　http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.opaserv.worm.removal.tool.html
○トレンドマイクロ
　http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700