W32.Navidad

W32.Navidad è un worm che usa MAPI per inviarsi a tutti gli indirizzi contenuti nella rubrica di Microsoft Outlook. 

Descrizione:

NOTA: Esso si copia nella cartella di dove risiede Windows .

Quando viene eseguito il programma visualizza una dialog box contenente il seguente testo:

UI

e come titolo:

Error

In quel momento approfitta per creare la seguente chiave nel registro:

HKEY_USERS\.DEFAULT\Software\Navidad

Si suppone che questa chiave venga utilizzata dal worm per identificare i computer già infetti. Comunque a causa di un errore nel codice la chiave non viene utilizzata.

Successivamente il worm aggiunge la seguente chiave:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

con valore:

Win32BaseServiceMOD=\Windows\System\Winsvrc.exe

Il worm fa una copia di se stesso nella cartella di systema di Windows con il seguente nome WINSVRC.VXD. Due to the difference in file name, the virus does not execute properly at startup.

Dopo aver copiato questo file il worm modifica e aggiunge la seguente chiave: 

HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\exefile\shell\open\command

to equal:

\Windows\System\winsvrc.exe "%1" %*"

A causa di un errore nel file il sistema è inutilizzabile. Ogni volta che viene lanciato un eseguibile il sistema lancia il file WINSVRC.EXE. Il risultato di tutto questo è che il file non può essere lanciato. Questo causa l'instabilità del sistema e una difficoltà nel riavviarlo.

Dopo aver fatto ciò il virus comincia ad inviarsi via e-mail. le e-mail inviate hanno le seguenti caratteristiche:

Caratteristiche dell'e-mail

• Subject of email: Uses existing subject lines
• Name of attachment: NAVIDAD.EXE
• Size of attachment: 32,768 bytes

Alla fine, esso mette una occhio blu nella Taskbar. Quando si punta con il mause l'icona dell'occhio il virus visualizza il seguente messaggio:

        Lo estamos mirando...
        (In Italiano: Lo stiamo guardando...)

Quando clicchi sull'icona dell'occhio appare un messaggio con un tasto:

 

Nunca presionar este boton
(In Italiano: Non premere questo bottone)

Se l'utente fa clic sul tasto appare il seguente messaggio:

 

Feliz Navidad
(In Italiano: Buon Natale)

mostra questo messaggio:

 

Lamentablemente cayo en la tentacion y perdio su computadora
(In English: Sfortunatamente sei caduto in tentazione e hai perduto il tuo computer).

Se tu chiudi la dialog box con la X viene visualizzato il seguente messaggio:

 

buena eleccion
(In Italiano: Buona scelta).

e poi si chiude. Malgrado il messaggio che avvisava della perdita del computer, il wrom non ha fatto niente al sistema.

Rimozione:

Per rimuovere W32.Navidad seguire le indicazioni:

1. Nella barra delle applicazioni di Windows, fai clic su Start > Programmi > MS-DOS Prompt. Nel caso in cui il prompt non si trovi sulla dyrectory di Windows spostarsi su di essa: nella maggior parte dei casi la dyrectory è:

   C:\WINDOWS>

    

2. Digita ren REGEDIT.EXE REGEDIT.COM.
3. Premi Invio.
4. Digita REGEDIT.
5. Premi Invio.
6. Modifica il valore delle seguenti chiavi:

   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

   e cambia

   "C:\WINDOWS\SYSTEM\winsvrc.vxd "%1" %*

   in

   "%1" %*

7. Cancella la chiave:

   HKEY_USERS\.DEFAULT\Software\Navidad

8. Riavvia il computer.
9. Usa windows per cancellare il file \WINDOWS\SYSTEM\winsvrc.vxd.