Punto informatico Network
Canali

Ultime news

Ultimi articoli

Le ultime dal Forum

MegaForum

Le nostre guide
Home » Sicurezza » Articoli
20080829205754

Navidad, il nuovo Worm

16/02/2001
- A cura di
Sicurezza - Una guida approfondita al riconoscimento e alla rimozione di Navidad..

Network Motori

    In collaborazione con newstreet.it

    Correlati

     
    Tag Cloud

    Tag

    Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

    worm (1) , navidad (1) , nuovo (1) .
    Tag Cloud

    Valutazione

    •  
    Voto complessivo 5 calcolato su 262 voti
    Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

    Navidad è un nuovo tipo di Internet worm che si diffonde autospedendosi via email ai contatti contenuti nella propria rubrica.

    Il virus si presenta come allegato ed è costituito da un file eseguibile con nome NAVIDAD. Quando viene attivato copia se stesso nella cartella di sistema di Windows con il nome WINSRVC.VXD e modifica il Registro in modo tale da essere eseguito automaticamente dal sistema.

    Il codice però contiene un bug, a causa del quale durante le operazioni di modifica del Registro crea un riferimento a se stesso sbagliato (usa il nome WINSRCV.EXE invece di WINSRVC.VXD).

    Quindi la copia WINSRVC.VXD non verrà mai eseguita in automatico dal sistema.

    A causa di questo bug il sistema infettato non è più in grado di eseguire correttamente i file EXE (non i COM!) e, quando si tenta di lanciare un programma, Windows mostra un messaggio standard di errore.

    Le modifiche nel Registro riguardano le chiavi:

    Dove %SystemDir% rappresenta la cartella di sistema di Windows.

    Il worm crea anche un'ulteriore chiave priva di valori:

    HKEY_CURRENT_USER\Software\Navidad

    A causa dell'impossibilità di eseguire file *.EXE, risulta impossibile avviare il programma di utilità REGEDIT, unico strumento contenuto in Windows a noi utile per poter modificare il registro.

    Prima di poterlo usare è necessario perciò rinominarlo in REGEDIT.COM.

    Una volta rinominato può essere usato per modificare la chiave HKEY_CLASSES_ROOT\exefile\shell\open\command che deve impostata al valore "%1" %*

    Quando viene eseguito, NAVIDAD mostra una finestra con le seguenti scritte:

    Titolo: Error

    Messaggio: UI

    Inoltre il worm mostra nella parte destra della barra delle applicazioni l'immagine di un occhio di colore blu.

    Se avrete l'ardire di cliccare sull'occhio appaiono sullo schermo altri due messaggi:

    Nunca presionar este boton

    Feliz Navidad Lamentablemente cayo en la tentacion y perdio su computadora

    E nient'altro...
    Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!
     

    Segnala ad un amico

    Tuo nome Tuo indirizzo e-mail (opzionale)
    Invia a:
      Aggiungi indirizzo email
      Testo

      © Copyright 2024 BlazeMedia srl - P. IVA 14742231005

      • Gen. pagina: 0.3 sec.
      •  | Utenti conn.: 102
      •  | Revisione 2.0.1
      •  | Numero query: 44
      •  | Tempo totale query: 0.12