Také jste už obdrželi e-mail s virem navidad.exe ?
Pokud jste již soubor navidad.exe spustili, nevypínejte počítač, pokud jste ho vypli, tak ho nezapínejte a zavolejte si odborníka. Schopnější z Vás si mohou poradit sami ...
Pokud jste již soubor navidad.exe spustili, nevypínejte počítač, pokud jste ho vypli, tak ho nezapínejte a zavolejte si odborníka. Schopnější z Vás si mohou poradit sami ...
Navidad je Internetovým wormem. Šíří se jako připojený soubor ke zprávám odeslaným z infikovaného počítače. Pomocí rozhraní MAPI odpovídá na všechny zprávy ve schránce Inbox, které jsou označeny jako nepřečtené. Funguje s programem Microsoft Outlook. Worm zachovává existující předmět i tělo zprávy a připojuje se jako soubor pod jménem navidad.exe .
Po spuštění se worm uloží do systémového adresáře Windows pod jménem WINSVRC.VXD a pak změní několik položek v Registry. Změní implicitní klíč pro spouštění EXE programů HKEY_CLASSES_ROOT\exefile\shell\open\command tak, aby byl spuštěn s každým EXE programem. Worm však obsahuje chybu, která způsobí to, že systém přestane být po této změně funkční, protože nelze spustit žádné soubory typu EXE (to je podobné situaci s wormem PrettyPark po smazání wormu z disku před opravou Registry). Klíče jsou totiž připraveny pro soubor WINSVRC.EXE ale worm sám sebe uloží pod jménem WINSVRC.VXD .
Worm se též snaží zajistit své spuštění při každém spouštění Windows modifikací klíče v položce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ale díky výše zmíněné chybě se mu další aktivace nepovede.
Worm též vytvoří položku Navidad v následující sekci HKEY_CURRENT_USER\Software .
Během svého spuštění worm komunikuje s uživatelem. Zobrazí dialog box s názvem Error, který obsahuje pouze dvě písmena UI. Pak do systémové lišty umístí ikonu s modrým okem. Pokud je na ikonu umístěna šipka myši, worm zobrazí žlutý dialogový box s textem Lo estamos mirando... (tj. Sledujeme to...).
Pokud na ikonu uživatel klikne, objeví se dialogový box s velkým tlačítkem s textem Nunca presionar este boton (tj. Nikdy nemačkej toto tlačítko).
Pokud uživatel tlačítko zmáčkne, objeví se chybové okno s názvem Feliz Navidad (tj. Veselé vánoce) a s následujícím textem Lamentablemente cayo en la tentacion y perdio su computadora (tj. Bohužel jste podlehl pokušení a ztratil svůj počítač).
Pokud uživatel zavře dialogové okno pomocí křížku v pravém horním rohu, zobrazí se text buena eleccion (tj. Dobrá volba) a worm se ukončí. I přes warování o ztrátě počítače nejsou v systému provedeny žádné další změny.
Odstranění viru :
Worm může být z napadeného systému odstraněn následujícím způsobem. Nejprve je třeba opravit Registry aplikováním následujících změn :
- REGEDIT4
- [HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*" - [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Win32BaseServiceMOD" = "" - Potom je potřeba ukončit všechny běžící úlohy s názvy NAVIDAD a WINSVRC. Nakonec je třeba smazat oba soubory, které worm obsahují - NAVIDAD.EXE a WINSVRC.VXD
V současné době bylo zjištěno několik variant, lišící se v délce připojeného souboru. Všechny verze programu avast! jsou schopny tento worm detekovat, pokud je příslušný datový soubor VPS alespoň z 16. listopadu 2000.
Ing. Pavel Menšík
Alef Nula a.s. / TEL + 420 2 67182704
pavel.mensik@alef0.cz
Článek ze dne 22. listopadu 2000 - středa