|
Martes 7 de noviembre de 2000
Actualizado 15 de noviembre de 2000
Ver también: 30/nov/00 - W32/Navidad-B (Emanuel). Nueva versión del virus Navidad
Nombre: W32/Navidad
Alias: W32/Navidad@M, W32/Watchit.intd, W32/Watchit
Tipo: Ejecutable de Win32, Gusano.
Tamaño: 32,768 bytes
W32/Navidad es un gusano de e-mail, que arriba en un mensaje con un archivo adjunto llamado NAVIDAD.EXE.
Si el archivo es ejecutado (haciendo doble clic sobre él), se despliega una ventana de diálogo en español con el título
"ERROR", la leyenda "UI" y un botón de
"OK".
El virus intenta luego leer cada nuevo mensaje (no leído) que se haya recibido y esté en la bandeja de entrada, para enviarse a si mismo a las direcciones electrónicas de quienes los envían. Los mensajes que manda el virus, contendrán por lo tanto el archivo NAVIDAD.EXE como un adjunto (file attach).
El gusano se copia a si mismo en la carpeta Windows y Windows\System, con los nombres WINSVRC.VXD y WINSVRC.EXE (una copia idéntica de NAVIDAD.EXE). Modifica entonces el registro para poder ejecutarse en cada reinicio de Windows.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Win32BaseServiceMOD = C:\WINDOWS\SYSTEM\WINSRVC.EXE
También se instala en la bandeja del sistema (System Tray), lo que lo hace visible.
Allí (al lado del reloj y del icono del parlante), se muestra como pequeños ojos azules.
Si se coloca el puntero del mouse sobre estos iconos, se despliega el texto, también en español:
"Lo estamos mirando...".
Si el usuario pincha en uno de estos ojos, se abre una ventana de texto con un gigantesco botón y la leyenda
"Nunca presionar este boton".
Si se pulsa en dicho botón, el gusano muestra otra ventana de diálogo, con el título
"Feliz Navidad", y dentro de la ventana el símbolo de error (círculo rojo con una X blanca), y el texto
"Lamentablemente cayo en la tentacion y perdio su
computadora", y el botón "OK", todo en español, y sin tildes.
Según HackerSoft, existen en la calle varias versiones, y algunas poseen errores (no se crea nunca un archivo WINSRVC.EXE), o hace que todas los archivos ejecutables (EXE) de Windows en realidad intenten abrir al archivo C:\WINDOWS\SYSTEM\WINSRVC.EXE, y como ese archivo no existe, esto produce solo mensajes de error, y la imposibilidad de que las aplicaciones y el propio Windows, funcionen. Pero no se descarta la posibilidad de que nuevas versiones, corregidas, y tal vez más peligrosas, estén circulando en las próximas horas.
Se recomienda no abrir jamás archivos adjuntos no solicitados, y mantener al día sus antivirus. Hoy más que nunca, es vital que estos se actualicen diariamente, única forma de contrarrestar los peligros que a diario surgen en la red.
Cómo sacar el virus W32/Navidad de su sistema
Actualización 15 de noviembre de 2000
Esta actualización le indica la forma correcta de limpiar su sistema en forma
manual.
1) Pinche en Inicio, Programas, MS-DOS
2) En la ventana DOS que se abrirá, teclee:
REN REGEDIT.EXE REGEDIT.COM
Nota: Esto es porque la asociación en el registro con las extensiones .EXE han sido adulteradas por el virus, y REGEDIT.EXE (nombre original), no se ejecutaría. Al renombrarlo como .COM, el sistema operativo lo ejecutará igual. Este cambio puede ser vuelto a la normalidad luego como veremos en el punto 14).
3) Teclee EXIT y pulse Enter para salir.
4) Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER)
5) En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CLASSES_ROOT
exefile
shell
open
command
6) En el panel de la derecha deberá aparecer (Predeterminado) bajo la columna "Nombre", y en la columna "Datos", debe existir algo como:
C:\WINDOWS\SYSTEM\WINSVRC.EXE "%1" "%*"
7) Si existe esta entrada, pinche sobre el texto
(Predeterminado) para abrir la ventana de edición.
8) En la ventana "Editar cadena", en "Información del valor", borre lo
que aparece en el punto 6, y teclee lo siguiente (respete incluso las comillas, se aconseja usar "cortar y pegar"):
"%1" %*
9) Como en el punto 4, vaya a la siguiente entrada del registro:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
10) Pinche sobre la carpeta "RUN". En el panel de la izquierda debería ver algo como:
Win32BaseServiceMOD = C:\WINDOWS\SYSTEM\WINSVRC.EXE
11) Pinche sobre el nombre "Win32BaseServiceMOD" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
12) Use "Registro", "Salir" para salir del editor y confirmar los cambios.
13) Pinche en Inicio, Programas, MS-DOS
14) En la ventana DOS que se abrirá, teclee:
REN REGEDIT.COM REGEDIT.EXE
15) Reinicie su PC (Inicio, Apagar el sistema, Reiniciar)
16) Ejecute un antivirus al día para revisar su sistema.
Fuentes: HackerSoft, Sophos, McAfee, F-Prot y Trend Micro.
|
|