http://www.symantec.com.br/region/br/avcenter/data/w32.navidad-br.html
Ao final, informacoes sobre remocao do virus.
W32.Navidad
Descoberto em 3 de Novembro de 2000
O W32.Navidad é um programa worm de e-mail massivo. Ele se replica usando
MAPI para todas as mensagens da caixa de entrada que contém um simples
anexo. Ele trabalha em conjunto com o Microsoft Outlook, ele utiliza o
assunto já existente do e-mail, corpo e é auto anexado como NAVIDAD.EXE
devido a bugs no seu código, o Worm causa o sistema instabilidade.
Categoria: Worm
Definições de Vírus: 6 de Novembro de 2000
Estimativa de Ameaça: 4
Payload:
Causa instabilidade de sistema: Modifica chaves de registro de maneira
aleatória.
Assunto do E-Mail: Utiliza assuntos já existentes
Nome do Anexo: NAVIDAD.EXE
Tamanho do Anexo: 32,768 bytes
Descrição Técnica :
Quando executado, o worm mostra uma caixa de dia'logo com letras obscuras:
UI
e o Título:
Error
Então, o Worm adiciona a seguinte chave no registro:
HKEY_USERS\.DEFAULT\Software\Navidad
Esta chave tem a intenção de ser utilizada caso o computador já estivesse
infectado. Entretanto devido a erros no seu código, esta chave não é
utilizada.
Após isso o vírus adiciona outra chave:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Com o valor:
Win32BaseServiceMOD=\Windows\System\Winsvrc.exe
O worm copia si mesmo para o diretório de sistema do windows como WINSVRC.VXD.
Devido a diferenças no nome do arquivo, o vírus não é executado
corretamente na inicialização. Após o arquivo ter sido copiado, o worm
então modifica uma entrada de registro para:
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\exefile\shell\open\command
para:
\Windows\System\winsvrc.exe "%1" %*"
Devido a erros no nome do arquivo, o sistema fica instável. Qualquer
arquivo .exe que é executado o sistema operacional irá perguntar o local
aonde o arquivo WINSVRC.EXE está.
O resultado é que nenhum programa pode ser executado, com isto causando
instabilidade do sistema e o sistema poderá ter dificuldades quando
reiniciado. Após esses procedimentos, o worm começa a rotina de e-mail.
Ele utiliza MAPI para enviar e-mail e trabalha em conjunto com o Microsoft
Outlook. O worm checa todas mensagens na caixa de entrada, e começa a
responder todas as mensagens que tiverem algum anexo.
A resposta consiste do mesmo assunto, e texto da mensagem porém contém o
anexo NAVIDAD.EXE.
Finalmente, o worm mostra um ícone de um olho azul ao lado do relógio na
barra de tarefas. Quando o ponteiro do mouse passa pelo ícone, o worm
mostra uma caixa amarela de diálogo que contém:
Lo estamos mirando ....
(Em português: Estamos te observando)
Quando você clica o ícone, uma caixa de diálogo com um botão aparece.
O botão contém o seguinte texto:
Nunca presionar este boton
(Em português: Nunca pressione este botão)
Caso seja pressionado o botão, uma caixa de erro irá aparecer com o título:
Feliz Navidad
(Em português: Feliz Natal)
Mostrando a mensagem:
Lamentablemente cayo en la tentacion y perdio su computadora
(Em português: Infelizmente, você caiu na tentação e perdeu seu computador)
Caso você feche a caixa de diálogo, clicando no X ao invés do botão, a
seguinte mensagem irá aparecer:
Buena eleccion
(Em português: Boa escolha).
Ee sai mostrando:
Mesmo com o aviso da perda do computador, nenhuma mudança adicional foi
feita ao sistema.
Remoção:
Para remover o W32.Navidad:
1. Na barra de tarefas do Windows clique em Iniciar > Programas > Prompt do
MS-DOS. O prompt de comando irá aparecer no diretório atual, o qual deverá
ser (C:\WINDOWS) e na maioria dos casos irá mostrar (C:\Windows>).
2. Digite então:
3. ren REGEDIT.EXE REGEDIT.COM
4. Enter
Ccom o editor de registro aberto modifique a seguinte chave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command mude o
conteúdo de: "C:\WINDOWS\SYSTEM\winsvrc.vxd "%1" %* para: "%1" %*
Para clarificar, estes sete caracteres estão na seguinte ordem:
Aspas duplas, sinal de percentual, número 1, aspas duplas, espaço, sinal de
percentual e asterisco. Não esqueça o espaço.
Delete a seguinte chave de registro:
HKEY_USERS\.DEFAULT\Software\Navidad Reinicie o computador.
Utilizando o Windows Explorer, apague o seguinte arquivo:
C:\Windows\System\Winsvrc.vxd.
Informações por: Eric Chien
Traduzido por: Marco Bicca
-------
Em tempo: a remoção das chaves pode ser feita simplesmente usando um
arquivo disponibilizado no site da MCAFEE.
http://download.mcafee.com/products/mcafee-avert/stand_alone/undo.zip
Basta descompactar este arquivo usando o WINZIP e depois clicar duas vezes
sobre ele, e as alteracoes no registro serao feitas automaticamente.
-------
Abraco,
PAULO GUSTAVO SAMPAIO ANDRADE
Teresina - Piaui
E-mail --> [EMAIL PROTECTED]
Jus Navigandi --> http://www.jus.com.br
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Lista [EMAIL PROTECTED]
- Para assinar esta lista, envie e-mail para
[EMAIL PROTECTED]
- Para se desinscrever, envie e-mail para
[EMAIL PROTECTED] - mas pense bem antes! :)
- Para mais informacoes sobre esta lista, va\' no endereco
http://www.grupos.com.br/grupos/piadas.news
- Qualquer duvida sobre a lista, escreva para
[EMAIL PROTECTED]
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
página do grupo | diretório de grupos | diretório de pessoas | cancelar assinatura |