Také jste už obdrželi e-mail s virem navidad.exe ?

Pokud jste již soubor navidad.exe spustili, nevypínejte počítač, pokud jste ho vypli, tak ho nezapínejte a zavolejte si odborníka. Schopnější z Vás si mohou poradit sami ...

Pokud jste již soubor navidad.exe spustili, nevypínejte počítač, pokud jste ho vypli, tak ho nezapínejte a zavolejte si odborníka. Schopnější z Vás si mohou poradit sami ...

Navidad je Internetovým wormem. Šíří se jako připojený soubor ke zprávám odeslaným z infikovaného počítače. Pomocí rozhraní MAPI odpovídá na všechny zprávy ve schránce Inbox, které jsou označeny jako nepřečtené. Funguje s programem Microsoft Outlook. Worm zachovává existující předmět i tělo zprávy a připojuje se jako soubor pod jménem navidad.exe .

Po spuštění se worm uloží do systémového adresáře Windows pod jménem WINSVRC.VXD a pak změní několik položek v Registry. Změní implicitní klíč pro spouštění EXE programů HKEY_CLASSES_ROOT\exefile\shell\open\command tak, aby byl spuštěn s každým EXE programem. Worm však obsahuje chybu, která způsobí to, že systém přestane být po této změně funkční, protože nelze spustit žádné soubory typu EXE (to je podobné situaci s wormem PrettyPark po smazání wormu z disku před opravou Registry). Klíče jsou totiž připraveny pro soubor WINSVRC.EXE ale worm sám sebe uloží pod jménem WINSVRC.VXD .

Worm se též snaží zajistit své spuštění při každém spouštění Windows modifikací klíče v položce  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ale díky výše zmíněné chybě se mu další aktivace nepovede.

Worm též vytvoří položku Navidad v následující sekci HKEY_CURRENT_USER\Software .

Během svého spuštění worm komunikuje s uživatelem. Zobrazí dialog box s názvem Error, který obsahuje pouze dvě písmena UI. Pak do systémové lišty umístí ikonu s modrým okem. Pokud je na ikonu umístěna šipka myši, worm zobrazí žlutý dialogový box s textem Lo estamos mirando... (tj. Sledujeme to...).

Pokud na ikonu uživatel klikne, objeví se dialogový box s velkým tlačítkem s textem Nunca presionar este boton (tj. Nikdy nemačkej toto tlačítko).

Pokud uživatel tlačítko zmáčkne, objeví se chybové okno s názvem Feliz Navidad (tj. Veselé vánoce) a s následujícím textem Lamentablemente cayo en la tentacion y perdio su computadora (tj. Bohužel jste podlehl pokušení a ztratil svůj počítač).

Pokud uživatel zavře dialogové okno pomocí křížku v pravém horním rohu, zobrazí se text buena eleccion (tj. Dobrá volba) a worm se ukončí. I přes warování o ztrátě počítače nejsou v systému provedeny žádné další změny.

Odstranění viru :

Worm může být z napadeného systému odstraněn následujícím způsobem. Nejprve je třeba opravit Registry aplikováním následujících změn :

1. REGEDIT4
2. [HKEY_CLASSES_ROOT\exefile\shell\open\command]
   @="\"%1\" %*"
3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   "Win32BaseServiceMOD" = ""
4. Potom je potřeba ukončit všechny běžící úlohy s názvy NAVIDAD a WINSVRC. Nakonec je třeba smazat oba soubory, které worm obsahují - NAVIDAD.EXE a WINSVRC.VXD

V současné době bylo zjištěno několik variant, lišící se v délce připojeného souboru. Všechny verze programu avast! jsou schopny tento worm detekovat, pokud je příslušný datový soubor VPS alespoň z 16. listopadu 2000.

Ing. Pavel Menšík
Alef Nula a.s. / TEL + 420 2 67182704
pavel.mensik@alef0.cz

Článek ze dne 22. listopadu 2000 - středa