OT: Co je navidad - Re: dotaz filtrovani sendmailu
Aleš_Tošovský
tosovsky na lesopo.cz
Úterý Prosinec 5 10:28:39 CET 2000
>From (Od) : Pavel Just <Pavel.Just na ais.cz>
> Nevím, co je navidad.exe, ...
Navidad je další z přílohových virů.
Před časem mi jich přišlo požehnaně.
Zdravím
Aleš_Tošovský
mailto:tosovsky na lesopo.cz
----Popis-------
I-Worm/Navidad
I-Worm/Navidad je další z wormů rozesílajících se emailem - zaslaný soubor se jmenuje Navidad.exe a má
ikonu, která vypadá jako "čárový kód".
Po spuštění zaslané přílohy se nakopíruje do systémového adresáře Windows pod jménem winsvrc.vxd a do
klíče HKCR\exefile\shell\open\command se pokusí nastavit své spouštění (podobný trik používá PrettyPark).
Vloudila se tam ale drobná chybička a I-Worm/Navidad se zaregistruje jako winsvrc.exe, nikoliv jako
winsvrc.vxd. Díky tomu skončí pokus o spuštění jakéhokoliv EXE souboru chybovým hlášením s textem "UI".
Své spouštění po startu Windows zajistí vytvořením klíče Win32BaseServiceMOD v
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\, kam dá odkaz na sebe.
Kromě toho si ještě vytvoří klíč HKCU\SOFTWARE\Navidad.
Na taskbaru si dělá ikonku s očičkem a reaguje na manipulaci s ním. Používá při tom tyto španělské texty:
Té estamos mirando..
Lo estamos mirando...
buena eleccion...
Lamentablemente cayo en la tentacion y perdio su computadora
Feliz Navidad
Nunca presionar este boton
Pro léčení prosím použijte utilitku www.grisoft.cz/softw/removers/rmnavida.com, která umí dát do pořádku registry.
Další informace o konferenci Linux