The (Win32/Navidad.Worm) virus was detected in (Walther
Massahiro Suguio\Navidad.exe) and was sent by
([EMAIL PROTECTED]).
Assunto: Alerta de Vírus:
Navidad.EXE
Alerta de Vírus: Navidad.EXE
(Também conhecido como
Win32.Navidad)
Win32.Navidad é um virús worm de email que, apesar de conter
um bug, está se
espalhando rapidamente.
Ele chega em uma mensagem de
email, com assunto váriavel. O vírus responde
às mensagens da caixa de
entrada, de modo que o assunto da mensagem seja
igual a algum que o
destinatário tenha enviado anteriormente. O corpo da
mensagem é vazio, exceto
pelo texto:
"Navidad.exe".
Quando o arquivo é executado, o
vírus imediatamente mostra uma caixa de
diálogo com o título "Error", o texto
"UI" e um botão "OK".
Quando o botão "OK" é pressionado, o vírus
começa a se enviar para todos os
remententes das mensagens que estiverem na
sua caixa de entrada. As
respostas tem exatamente o mesmo assunto da mensagem
original (não é
adicionado "Re:"), e no lugar do corpo da mensagem, vai o
vírus em anexo.
Essas mensagens são enviadas utilizando o programa de email
padrão, dessa
forma, pode ser que elas apareçan na Caixa de Saída antes de
serem enviadas,
dependendo das configurações do usuário.
O vírus
aparece em forma de um ícone (na forma de um olho azul) na barra de
tarefas
do Windows. Se você passar o mouse sobre o ícone, aparece a mensagem
"Lo
estamos mirando..." (que significa "Estamos te observando") .
Se
o ícone for clicado, uma janela com um único botão. O texto do botão
diz:
"Nunca presionar este boton" (que significa, "Nunca aperte este
botão").
Quando o botão for clicado, outra janela com o
título"Feliz Navidad" (que
significa, "Feliz Natal") irá aparecer. Esta
janela contém o
texto"Lamentablemente cayo en la tentacion y perdio su
computadora" (que
significa, "Infelizmente você não resistiu à tentação e
perdeu o seu
computador") e um botão "OK" .
O vírus também
tenta se instalar no sistema, e aí está o seu erro: O vírus
se renomeia para
o nome de "Winsvrc.vxd", e se copia para o diretório
c:\Windows\System. Então
ela cria duas entradas no registro que apontam para
um nome de arquivo
diferente:
"Winsvrc.exe":
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Win32BaseSe
rviceMOD
=
"C:\WINDOWS\SYSTEM\Winsvrc.exe"
HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default)
=
"C:\WINDOWS\SYSTEM\Winsvrc.exe "%1" %"
Como o arquivo "Winsvrc.exe"
não existe, a primeira mudança no registro não
surte efeito, a segunda
mudança, no entanto, fará com que todos os arquivos
.EXE deixem de ser
executados. Toda a vez que o usuário tentar executar um
programa, uma
mensagem será mostrada informando que o Windows não consegue
encontrar o
arquivo winsvrc.exe, e o programa não irá rodar.
Procedimento
para Limpeza:
Faça uma busca completa no seu computador com um
antivírus bem atualizado.
Se o seu antivírus não estiver atualizado, você
precisará remover as
mudanças que o vírus causou no registro do Windows
manualmente. Para fazer
isso automaticamente, clique aqui
<http://www.cai.com/virusinfo/encyclopedia/descriptions/reg/navidad.inf>
para
fazer o download de um arquivo INF. Salve esse arquivo no seu desktop,
depois
clique com o botão direito no arquivo e selecione "Instalar". Esse
arquivo
irá remover as alterações que o vírus fez no seu computador.
Reinicie o seu
computador para as modificações fazerem efeito..
Walther Massahiro
Suguio
Lista [EMAIL PROTECTED]
- Para assinar esta lista, envie e-mail para
[EMAIL PROTECTED]
- Para se desinscrever, envie e-mail para
[EMAIL PROTECTED] - mas pense bem antes! :)
- Para mais informacoes sobre esta lista, va\' no endereco
http://www.grupos.com.br/grupos/piadas.news
- Qualquer duvida sobre a lista, escreva para
[EMAIL PROTECTED]
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
página do grupo | diretório de grupos | diretório de pessoas | cancelar assinatura |