Punto informatico Network

Canali
20080829205754

Navidad, il nuovo Worm

16/02/2001
- A cura di
Sicurezza - Una guida approfondita al riconoscimento e alla rimozione di Navidad..

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

worm (1) , navidad (1) , nuovo (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 262 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Navidad è un nuovo tipo di Internet worm che si diffonde autospedendosi via email ai contatti contenuti nella propria rubrica.

Il virus si presenta come allegato ed è costituito da un file eseguibile con nome NAVIDAD. Quando viene attivato copia se stesso nella cartella di sistema di Windows con il nome WINSRVC.VXD e modifica il Registro in modo tale da essere eseguito automaticamente dal sistema.

Il codice però contiene un bug, a causa del quale durante le operazioni di modifica del Registro crea un riferimento a se stesso sbagliato (usa il nome WINSRCV.EXE invece di WINSRVC.VXD).

Quindi la copia WINSRVC.VXD non verrà mai eseguita in automatico dal sistema.

A causa di questo bug il sistema infettato non è più in grado di eseguire correttamente i file EXE (non i COM!) e, quando si tenta di lanciare un programma, Windows mostra un messaggio standard di errore.

Le modifiche nel Registro riguardano le chiavi:

Dove %SystemDir% rappresenta la cartella di sistema di Windows.

Il worm crea anche un'ulteriore chiave priva di valori:

HKEY_CURRENT_USER\Software\Navidad

A causa dell'impossibilità di eseguire file *.EXE, risulta impossibile avviare il programma di utilità REGEDIT, unico strumento contenuto in Windows a noi utile per poter modificare il registro.

Prima di poterlo usare è necessario perciò rinominarlo in REGEDIT.COM.

Una volta rinominato può essere usato per modificare la chiave HKEY_CLASSES_ROOT\exefile\shell\open\command che deve impostata al valore "%1" %*

Quando viene eseguito, NAVIDAD mostra una finestra con le seguenti scritte:

Titolo: Error

Messaggio: UI

Inoltre il worm mostra nella parte destra della barra delle applicazioni l'immagine di un occhio di colore blu.

Se avrete l'ardire di cliccare sull'occhio appaiono sullo schermo altri due messaggi:

Nunca presionar este boton

Feliz Navidad Lamentablemente cayo en la tentacion y perdio su computadora

E nient'altro...

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.25 sec.
    •  | Utenti conn.: 49
    •  | Revisione 2.0.1
    •  | Numero query: 20
    •  | Tempo totale query: 0.11