OT: Co je navidad - Re: dotaz filtrovani sendmailu

[Aleš_Tošovský]

>From (Od) : Pavel Just <Pavel.Just na ais.cz>
> Nevím, co je navidad.exe, ...

Navidad je další z přílohových virů.
Před časem mi jich přišlo požehnaně.

Zdravím

Aleš_Tošovský                            
mailto:tosovsky na lesopo.cz


----Popis-------
I-Worm/Navidad

I-Worm/Navidad je další z wormů rozesílajících se emailem - zaslaný soubor se jmenuje Navidad.exe a má 
ikonu, která vypadá jako "čárový kód". 

Po spuštění zaslané přílohy se nakopíruje do systémového adresáře Windows pod jménem winsvrc.vxd a do 
klíče HKCR\exefile\shell\open\command se pokusí nastavit své spouštění (podobný trik používá PrettyPark). 

Vloudila se tam ale drobná chybička a I-Worm/Navidad se zaregistruje jako winsvrc.exe, nikoliv jako 
winsvrc.vxd. Díky tomu skončí pokus o spuštění jakéhokoliv EXE souboru chybovým hlášením s textem "UI". 

Své spouštění po startu Windows zajistí vytvořením klíče Win32BaseServiceMOD v 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\, kam dá odkaz na sebe. 

Kromě toho si ještě vytvoří klíč HKCU\SOFTWARE\Navidad. 

Na taskbaru si dělá ikonku s očičkem a reaguje na manipulaci s ním. Používá při tom tyto španělské texty: 
Té estamos mirando.. 
Lo estamos mirando... 
buena eleccion... 
Lamentablemente cayo en la tentacion y perdio su computadora 
Feliz Navidad 
Nunca presionar este boton 

Pro léčení prosím použijte utilitku www.grisoft.cz/softw/removers/rmnavida.com, která umí dát do pořádku registry.