Také jste už obdrželi e-mail s virem navidad.exe ?

Pokud jste již soubor navidad.exe spustili, nevypínejte počítač, pokud jste ho vypli, tak ho nezapínejte a zavolejte si odborníka. Schopnější z Vás si mohou poradit sami ...

Pokud jste již soubor navidad.exe spustili, nevypínejte počítač, pokud jste ho vypli, tak ho nezapínejte a zavolejte si odborníka. Schopnější z Vás si mohou poradit sami ...

Navidad je Internetovým wormem. Šíří se jako připojený soubor ke zprávám odeslaným z infikovaného počítače. Pomocí rozhraní MAPI odpovídá na všechny zprávy ve schránce Inbox, které jsou označeny jako nepřečtené. Funguje s programem Microsoft Outlook. Worm zachovává existující předmět i tělo zprávy a připojuje se jako soubor pod jménem navidad.exe .

Po spuštění se worm uloží do systémového adresáře Windows pod jménem WINSVRC.VXD a pak změní několik položek v Registry. Změní implicitní klíč pro spouštění EXE programů HKEY_CLASSES_ROOT\exefile\shell\open\command tak, aby byl spuštěn s každým EXE programem. Worm však obsahuje chybu, která způsobí to, že systém přestane být po této změně funkční, protože nelze spustit žádné soubory typu EXE (to je podobné situaci s wormem PrettyPark po smazání wormu z disku před opravou Registry). Klíče jsou totiž připraveny pro soubor WINSVRC.EXE ale worm sám sebe uloží pod jménem WINSVRC.VXD .

Worm se též snaží zajistit své spuštění při každém spouštění Windows modifikací klíče v položce  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ale díky výše zmíněné chybě se mu další aktivace nepovede.

Worm též vytvoří položku Navidad v následující sekci HKEY_CURRENT_USER\Software .

Během svého spuštění worm komunikuje s uživatelem. Zobrazí dialog box s názvem Error, který obsahuje pouze dvě písmena UI. Pak do systémové lišty umístí ikonu s modrým okem. Pokud je na ikonu umístěna šipka myši, worm zobrazí žlutý dialogový box s textem Lo estamos mirando... (tj. Sledujeme to...).

Pokud na ikonu uživatel klikne, objeví se dialogový box s velkým tlačítkem s textem Nunca presionar este boton (tj. Nikdy nemačkej toto tlačítko).

Pokud uživatel tlačítko zmáčkne, objeví se chybové okno s názvem Feliz Navidad (tj. Veselé vánoce) a s následujícím textem Lamentablemente cayo en la tentacion y perdio su computadora (tj. Bohužel jste podlehl pokušení a ztratil svůj počítač).

Pokud uživatel zavře dialogové okno pomocí křížku v pravém horním rohu, zobrazí se text buena eleccion (tj. Dobrá volba) a worm se ukončí. I přes warování o ztrátě počítače nejsou v systému provedeny žádné další změny.

Odstranění viru :

Worm může být z napadeného systému odstraněn následujícím způsobem. Nejprve je třeba opravit Registry aplikováním následujících změn :

  1. REGEDIT4
  2. [HKEY_CLASSES_ROOT\exefile\shell\open\command]
    @="\"%1\" %*"
  3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Win32BaseServiceMOD" = ""
  4. Potom je potřeba ukončit všechny běžící úlohy s názvy NAVIDAD a WINSVRC. Nakonec je třeba smazat oba soubory, které worm obsahují - NAVIDAD.EXE a WINSVRC.VXD

V současné době bylo zjištěno několik variant, lišící se v délce připojeného souboru. Všechny verze programu avast! jsou schopny tento worm detekovat, pokud je příslušný datový soubor VPS alespoň z 16. listopadu 2000.

Ing. Pavel Menšík
Alef Nula a.s. / TEL + 420 2 67182704
pavel.mensik@alef0.cz

Článek ze dne 22. listopadu 2000 - středa

Všechna firemní zařízení Android pod kontrolou
Aktuální články

Profesionální bezdrátový prezentační sys...

Bezpečný a transparentní FORPSI cloud

Výzva operátorům ke změně cenové politik...

Budeme mít férové operátory i ceny za mo...

Ne všechna volání z ciziny jsou roaminge...

DNS obhájila prvenství a získala ocenění...

Multimediální zásuvky s konektory HDMI, ...

Nová řešení podpory dostupnosti různorod...

Moderní digitální kancelář bez šanonů

Současné a budoucí IT trendy na konferen...

Zálohování firemních dat s dvojnásobnou ...

Co je nového v české verzi Dynamics NAV ...

Projekt NEN je ušit na míru IT společnos...

Jak na ochranu dat o tržbách

Dynamics 365 pomáhá obchodníkům zlepšova...

Mobilní bankovnictví ohrožuje SMS malwar...

Konference SUSE Expert Days 2017 pro pří...

Malý přenosný bluetooth reproduktor Polk...

Odpovědnost za ochranu dat zákazníků je ...

Digitální transformace s podporou VMware...