NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

Nuevo gusano de alta propagación W32/Navidad@M

Nombre de virus: W32/Navidad@M <mailto:W32/Navidad@M>

Alias conocidos: I-Worm.Navidad, Troj_Navidad.A, W32/Watchit

Riesgo Infección: Alto   (Bajo, Medio, Alto)

Activación: por la ejecución del fichero NAVIDAD.EXE

Propagación: autoresponde e-mails entrantes enviando el gusano

Detección: Desde DATS 4105

Motor necesario: Engine 4.0.70 o superior

Infección actual: Media   (Inicial, Media, Elevada)
 

W32/Navidad es un nuevo gusano que se propaga a través del correo electrónico como un archivo asociado de nombre NAVIDAD.EXE.

Una vez se ejecuta este fichero, el gusano se instala en el sistema con el nombre WINSVRC.VXD dentro de \Windows\System y genera las siguientes claves en el registro de sistema:
HKEY_CURRENT_USER\SOFTWARE\Navidad
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Win32BaseServiceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe
HKEY_CLASSES_ROOT\exefile\shell\open\command\
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %*
HKEY_LOCAL MACHINE\Software\CLASSES\exefile\shell\open\command\
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %*
En la entrada anterior, el valor previo era
"%1" %*
Durante la ejecución del gusano, aparecerá un falso mensaje de error con un botón ‘OK’. Tras pulsar este botón aparecerá el icono de un ojo en la barra de tareas de Windows. Este icono es el principal indicador de que el gusano está instalado en el sistema.

El worm utiliza la librería MAPI32.DLL del sistema para autoresponder los mensajes de correo entrantes con una copia de sí mismo y de este modo propagar la infección.

Existe un fallo en el código del virus, de manera que el worm se instala como WINSVRC.VXD mientras que el registro de sistema apunta a WINSVRC.EXE, lo cual provoca que al no existir el fichero .exe, el sistema no será capaz de iniciar ningún fichero .exe tras el reinicio del sistema.

El control de este virus precisa de DATS 4105 y de motor 4070. Pueden eliminarlo pulsando primero doble-click sobre nuestro fichero UNDO.REG (incluído en las utilidades de nuestraweb www.satinfo.es <http://www.satinfo.es> y en todos nuestros disquetes de actualización), de manera que corregirán las entradas de registro anteriores, y posteriormente borrando los ficheros /Windows/System/winsvrc.vxd y el Navidad.exe.
 

SATINFO, VIRUSCAN SPAIN SERVICE                         L.13-11-00
 


Anterior