Stampa Articolo

Aperiodico gratuito di informatica

 

Navidad, il nuovo Worm

a cura di iSala

16/02/2001 - articolo

Sicurezza - Una guida approfondita al riconoscimento e alla rimozione di Navidad..

Navidad è un nuovo tipo di Internet worm che si diffonde autospedendosi via email ai contatti contenuti nella propria rubrica.

Il virus si presenta come allegato ed è costituito da un file eseguibile con nome NAVIDAD. Quando viene attivato copia se stesso nella cartella di sistema di Windows con il nome WINSRVC.VXD e modifica il Registro in modo tale da essere eseguito automaticamente dal sistema.

Il codice però contiene un bug, a causa del quale durante le operazioni di modifica del Registro crea un riferimento a se stesso sbagliato (usa il nome WINSRCV.EXE invece di WINSRVC.VXD).

Quindi la copia WINSRVC.VXD non verrà mai eseguita in automatico dal sistema.

A causa di questo bug il sistema infettato non è più in grado di eseguire correttamente i file EXE (non i COM!) e, quando si tenta di lanciare un programma, Windows mostra un messaggio standard di errore.

Le modifiche nel Registro riguardano le chiavi:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Win32BaseServiceMOD = %SystemDir%\winsvrc.exe HKEY_CLASSES_ROOT\exefile\shell\opencommand\{Default}=%SystemDir%\winsvrc.exe %1

Dove %SystemDir% rappresenta la cartella di sistema di Windows.

Il worm crea anche un'ulteriore chiave priva di valori:

HKEY_CURRENT_USER\Software\Navidad

A causa dell'impossibilità di eseguire file *.EXE, risulta impossibile avviare il programma di utilità REGEDIT, unico strumento contenuto in Windows a noi utile per poter modificare il registro.

Prima di poterlo usare è necessario perciò rinominarlo in REGEDIT.COM.

Una volta rinominato può essere usato per modificare la chiave HKEY_CLASSES_ROOT\exefile\shell\open\command che deve impostata al valore "%1" %*

Quando viene eseguito, NAVIDAD mostra una finestra con le seguenti scritte:

Titolo: Error

Messaggio: UI

Inoltre il worm mostra nella parte destra della barra delle applicazioni l'immagine di un occhio di colore blu.

Se avrete l'ardire di cliccare sull'occhio appaiono sullo schermo altri due messaggi:

Nunca presionar este boton

Feliz Navidad Lamentablemente cayo en la tentacion y perdio su computadora

E nient'altro...

MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .

Copyright 2008 MegaLab.it - Tutti i diritti sono riservati