1. Nombre: W32/Navidad
   Alias: W32/Navidad@M, W32/Watchit.intd, W32/Watchit
   Tipo: Ejecutable de Win32, Gusano.
   Tamaño: 32,768 bytes

W32/Navidad es un gusano de e-mail, que arriba en un mensaje con un archivo adjunto llamado NAVIDAD.EXE.

Si el archivo es ejecutado (haciendo doble clic sobre él), se despliega una ventana de diálogo en español con el título "ERROR", la leyenda "UI" y un botón de "OK".

El virus intenta luego leer cada nuevo mensaje (no leído) que se haya recibido y esté en la bandeja de entrada, para enviarse a si mismo a las direcciones electrónicas de quienes los envían. Los mensajes que manda el virus, contendrán por lo tanto el archivo NAVIDAD.EXE como un adjunto (file attach).

También se instala en la bandeja del sistema (System Tray), lo que lo hace visible.

Allí (al lado del reloj y del icono del parlante), se muestra como pequeños ojos azules.

Si se coloca el puntero del mouse sobre estos iconos, se despliega el texto, también en español: "Lo estamos mirando...".

Si el usuario pincha en uno de estos ojos, se abre una ventana de texto con un gigantesco botón y la leyenda "Nunca presionar este boton".

Si se pulsa en dicho botón, el gusano muestra otra ventana de diálogo, con el título "Feliz Navidad", y dentro de la ventana el símbolo de error (círculo rojo con una X blanca), y el texto "Lamentablemente cayo en la tentacion y perdio su computadora", y el botón "OK", todo en español, y sin tildes.

Más información:

VSantivirus No. 122 - 7/nov/00
W32/Navidad. Gusano en forma de ejecutable, en español
http://www.vsantivirus.com/navidad.htm

2. Nombre: W32/Music@M
   Tipo: Gusano de Internet

Este gusano llega a nosotros en un mensaje conteniendo la siguiente información:

Para: "All my friends" 
De: "Test Mail"
Asunto: "Testing to send file"

Cuerpo del mensaje: 
Hi, just testing email using Merry Christmas music
file, not bad music. 

Archivo adjunto: Music.com (40 Kb)

Si se pincha sobre el adjunto, se ejecuta el virus. Cuando esto ocurre, el gusano despliega una ventana con el título "Merry Christmas", y ejecuta un archivo en formato MIDI (incluido en el cuerpo del virus), con el tema musical navideño: "We Wish You A Merry Christmas".

Además, la página de inicio del browser es alterada.

Más información:

VSantivirus No. 130 - 15/nov/00
W32/Music@M. Otro gusano de Internet sobre la Navidad
http://www.vsantivirus.com/music.htm

3. Nombre: I-Worm.Santa
   Tipo: Gusano de Internet y virus de Visual Basic Script
   Alias: VBS_JEAN.A, JEAN.A

El gusano llega a nosotros en un mensaje con un archivo adjunto, y al hacer doble clic sobre éste, el virus se activa.

Lo primero que hace es capturar algunas funciones del Outlook (no funciona con el Outlook Express), y enviarse entonces a si mismo a los primeros 50 contactos de la libreta de direcciones, en mensajes idénticos al recibido.

El mensaje original en el que arriba el gusano, conteniendo un adjunto en formato VBS con el propio virus, se encuentra en alemán y trae como adjunto el archivo XMAS.VBS

Más información:

VSantivirus No. 140 - 25/nov/00
I-Worm.Santa. ¿Invasión de virus sobre la Navidad?
http://www.vsantivirus.com/santa.htm

4. Nombre: W32/Navidad-B (Emanuel)
   Tipo: Ejecutable de Win32, Gusano
   Tamaño: 16,896 Bytes
   Alias: I-Worm/Navidad, W32/Emanuel, Troj_Emmanuel, W32.Navidad.16896, Emmanuel, Navidad.E, Navidad.B

Es una variante del virus W32/Navidad, que llega a nosotros en un mensaje con un adjunto llamado EMANUEL.EXE.

Si este adjunto es ejecutado (doble clic sobre él), se nos muestra una ventana de error, y se agrega a la bandeja de sistema (systray), con el icono de una flor, característico del ICQ.

Lo más grave de este virus, es que impide la ejecución de los archivos .EXE. Esto obliga a Windows a mostrar un mensaje de error cada vez que un EXE es ejecutado. Esto también complica su limpieza.

Más información:

VSantivirus No. 145 - 30/nov/00
VSantivirus No. 187 - 11/ene/01
W32/Navidad-B (Emanuel). Nueva versión del virus Navidad
http://www.vsantivirus.com/navidad-b.htm

5. Nombre: W32.Kriz
   Tipo: Virus
   Fecha: 11/ago/99
   Alias: W32.Kriz, W32.Kriz.dr, PE_KRIZ
   Variantes: W32.Kriz.3862, W32.Kriz.3863, W32.Kriz.3863.b, W32.Kriz.3740, W32.Kriz.4050, W32/Kriz.4092.

El 25 de diciembre de cada año, este virus puede borrar todos los archivos en sus unidades de disco, disquetes, unidades compartidas de red, RAM, etc.

También puede borrar la información guardada en el BIOS, en forma similar a como lo hace el W95.CIH, impidiendo el inicio de la computadora luego de ello.

Numerosos gusanos, han distribuido a su vez, como parte de su propia rutina maliciosa, a este virus y a sus versiones.

W32.Kriz funciona en todas las versiones de Windows (9x, NT y 2000). Infecta archivos ejecutables de Windows, con formato PE (Portable Executable). Se mantiene en memoria, e infecta cualquier archivo de este tipo que sea abierto por el usuario o por alguna aplicación.

Si usted se infecta con este virus, debe reiniciar su computadora desde un disquete limpio para proceder a su desinfección, no lo haga con el virus residente en memoria, desde Windows. Ni siquiera desde una ventana de MS-DOS. Las instrucciones dadas en nuestro sitio para usar el antivirus F-PROT desde un disquete, podrán serle de utilidad. Le recomendamos imprimirlas y seguirlas paso a paso.

Más información:

VSantivirus No. 165 - 20/dic/00
W32.Kriz. Un peligroso regalo de Navidad
http://www.vsantivirus.com/kriz.htm

6. Nombre: W32/BlueBall.A
   Tipo: Infector de ejecutables
   Tamaño: 2049 bytes
   Fecha: 21/jun/01
   Alias: W95/BlueCorners.2049, Win32.BlueBall.4117,  Win32/Bballs, PE_BLUEBALL.A, W95/Blueblobs,  W95.BlueCorners

El virus posee una rutina no maliciosa, que se activa si la fecha actual, entre otras, es 25 de diciembre o 1o de enero. 

Si la fecha coincide, entonces el virus genera una serie de pequeñas esferas azules animadas, que surgen desde las cuatro esquinas de la pantalla, cubriendo todo el escritorio de Windows. La resolución asumida por el virus es de 800 x 600, de modo que si se está utilizando otra (600 x400, 1024 x 768, etc.), las pelotas azules surgirán en posiciones diferentes a las de las esquinas.

Más información:

VSantivirus No. 528 - 18/dic/01
W32/BlueBall.A. El 25 de diciembre, pelotas azules
http://www.vsantivirus.com/blueball-a.htm

7. Nombre: VBS/Grate.B
   Tipo: Gusano de Visual Basic Script
   Fecha: 17/dic/01
   Alias: VBS/Grate-B

Este virus no puede propagarse, por lo que no puede ser considerado un riesgo, aunque su intención era hacerlo simulando ser un saludo de Navidad.

Más información:

VSantivirus No. 528 - 18/dic/01
VBS/Grate.B. Un saludo de Navidad de envío masivo
http://www.vsantivirus.com/grate-b.htm


Existen muchos otros ejemplos de virus que utilizan fechas especiales, como las de Navidad, para activar alguna de sus rutinas malévolas, en algunos casos sumamente destructivas.

Solo quisimos llamarle la atención de que debemos estar siempre protegidos y actualizados, y por supuesto, jamás debemos abrir adjuntos no solicitados, y mucho menos cuando parezcan inocentes mensajes navideños.

Y finalmente, queremos dejarle nuestros mejores deseos por una muy Feliz Navidad, junto a nuestro brindis por un futuro mejor, y más seguro...

¡Felicidades!... Y a cuidarse de los virus... ;)

El equipo de VSAntivirus y Video Soft


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com