Livro de Visita
Pesquisa Vírus
Alertas de Vírus
Mapa Mundi
Testes de AV
Vírus Reais
Portas de Trojans
Notícias da Web
White Papers
Rede Segura
Zone Alarme
|
| Worm
Navidad Ataca Muitos Micros |
01/08/03 |
Relatório Especial - Worm W32/NAVIDAD
Índice deste Relatório:
(Veja Características desse
Vírus no final deste relatório)
|
Breve Histórico
Um novo vírus, na verdade um WORM,
apareceu há poucos dias atrás, isto ocorreu entre os dias 5 e 7 de novembro de 2000.
Este Worm vem como anexo a um e-mail, que sempre será enviado por alguém que
você CONHECE, pois ele utiliza o Address Book do Outlook Express e do
MS-Outlook - não há
registros, até o momento, de que outros Clients de E-Mail possam servir de
plataforma para a disseminação do Worm. Esse e-mail chega apenas com um
Subject totalmente variável (ele usa o subject de outro e-mail) e com o arquivo
anexado, não existindo nenhum texto no corpo da mensagem.
Esse anexo tem o nome de NAVIDAD.EXE e só
consegue contaminar uma máquina se o receptor do e-mail executar o anexo (o que
para muitos é um subterfúgio eficaz, pois ele sempre vem de alguém que acaba
de te enviar um e-mail, normal, sobre um assunto que os interlocutores estão
trabalhando).
|
[topo]
|
Eu Acho que Minha Máquina Está
Contaminada, Como Ter Certeza?
Estando o vírus ativo na memória você recebe diversos sinais do mesmo, entre elas
citamos:
- Um OLHO AZUL aparece na "bandeja do
Windows" - a área ao lado do relógio;
- Se pousar o cursor do mouse sobre o olho,
aparecerá uma janela onde se lê:
"Lo estamos mirando...";
- Se clicar sobre o olho um botão aparece
informando:
"Nunca presionar este boton";
- Se pressionar tal botão uma caixa de
mensagem (com o título: "Feliz Navidad") aparecerá, com o
seguinte conteúdo:
"Lamentablement cayo en la tentacion y perdio su computadora";
- Você não consegue executar quase nada
dentro de seu Windows;
- Verificamos que em várias máquinas, após
se posicionar o mouse sobre o olho azul, esse olho desaparece
definitivamente;
- Você não consegue executar arquivos .EXE;
Veja amostras das
principais telas que o W32/Navidad mostra ao usuário:
| Imagem
Mostrada |
Quando
ela é Mostrada |
 |
Esta
janela é apresentada ao usuário durante o processo de instalação do
Worm - isto é: logo após o usuário dar um duplo clique no anexo
NAVIDAD.EXE |
 |
Esta
é uma amostra do system tray (chamada de "bandeja" do Windows)
que fica ao lado do relógio do Windows - note o olho azul, indicativo da
presença do worm |
 |
Se
o usuário clica o ícone do olho azul esta janela, contendo um grande
botão, é apresentada |
 |
Esta
janela de aviso é mostrada se o usuário clicar no botão mostrado na
imagem anterior - esta mensagem é só para assustar, na verdade o worm
(pelo menos nesta primeira variante) NÃO causará dano algum |
 |
Se
entretanto o usuário não clicar no botão, mas sim clicar sobre o X
daquela janela, para fechá-la, o worm mostra essa janela, que permitirá
que o olho azul seja removido da "bandeja" do Windows se agora o
usuário clicar no botão [ACEITAR] |
|
[topo]
|
A Solução
Exterminar este Worm é um pouco complexo, porém se você seguir rigorosamente as
instruções abaixo, não haverá como não funcionar. Porém o método é
totalmente manual (por enquanto!) devido a que os Anti-vírus ainda não
conseguem detectar (isto deve estar no ar dentro de horas) e muito menos
eliminar (isto deve demorar alguns dias) essa novíssima praga.
Notas:
Se você já possuir o
DAT4105 ou superior (e com o engine 4.0.70) pode utilizar seu VirusScan para
eliminar o Worm de forma automática.
Se você possuir o Pattern file#794 ou
superior (e com o engine 5.17)pode usar o PC-Cillin para eliminar
o worm de forma automática.
Se você se sentir inseguro em seguir as
instruções abaixo, já que envolve editar diretamente o REGISTRO do Windows,
peça ajuda à sua área de Suporte de Informática.
- Antes de tudo é necessário você ganhar
acesso, novamente, ao Editor do Registro do Windows - o arquivo REGEDIT.EXE
porém com essa extensão NADA roda no seu micro, então renomeie o arquivo para
REGEDIT.COM
(no prompt do MS-DOS digite primeiro: cd\windows - depois digite: ren
regedit.exe regedit.com; se você estiver no Windows NT use o seguinte
comando: ren regedt32.exe regedt32.com
- Execute o REGEDIT, indo em INICIAR *
EXECUTAR;
- Digite REGEDIT (ou REGEDT32)
e pressione [ENTER];
- Navegue pelas chaves do registro até entrar
em
HKEY_CURENT_USER\SOFTWARE\Navidad
- Delete essa chave (clicando uma vez sobre a
chave e pressionando a tecla [DEL]) - confirme a deleção da chave;
- Navegue pelas chaves do registro até entrar
em
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
- Encontre a chave com o nome
Win32BaseserviceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe e delete-a;
- Navegue pelas chaves do registro até entrar
em
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \RunServices
- Se encontrar uma chave com o nome Win32BaseserviceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe
delete-a também;
- Navegue pelas chaves do registro até entrar
em
HKEY_CLASSES_ROOT \exefile \shell \open \command
- Encontre a chave com o nome
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %*
- Deixe apenas a parte "%1" %* -
removendo C:\WINDOWS\SYSTEM\winsvrc.exe inteiramente;
- Cheque se o registro contém a chave abaixo,
e delete-a se existir:
HKEY_CLASSES_ROOT \.dl (note: é apenas um ponto, um D e um L);
- Navegue pelas chaves do registro até entrar
em
HKEYLOCAL_MACHINE \Software \CASSES \exefile \shell \open \command
- Se encontrar uma chave com o nome
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %* deixe
apenas a parte "%1" %* - removendo C:\WINDOWS\SYSTEM\winsvrc.exe
inteiramente;
- Desligue seu sistema - desligando o micro
normalmente, e desligando a força por 10 segundos;
- Delete o arquivo criado pelo vírus - fica
na pasta \WINDOWS \ SYSTEM e tem o nome de WINSVRC.VXD;
- Se você receber um aviso de ERRO -
informando que o arquivo NÃO PODE SER DELETADO, então significa que você
não seguiu RIGOROSAMENTE as instruções acima. Recomece desde o primeiro
passo;
- Abra seu programa de e-mail e DELETE TODAS
AS MENSAGENS que tenham o anexo NAVIDAD.EXE - eles não contém nenhum dado
real, só o anexo viral;
- Dependendo do sistema operacional instalado
é possível que existam outras chamadas dentro do sistema, as quais também
devem ser eliminadas, se forem encontradas. Procure-as nos seguintes
arquivos:
* WIN.INI - na linha run= que
fica na seção [windows]
* SYSTEM.INI - na linha shell=
que fica na seção [boot] - esta linha só deve conter referência
ao arquivo EXPLORER.EXE, nada mais;
|
[topo]
|
Características
Técnicas do Vírus W32/NAVIDAD:
O Worm chega como um arquivo anexado, cujo nome é NAVIDAD.EXE. Esse
arquivo tem um tamanho de 32.768 bytes.
Se for executado o worm mostra uma caixa de
diálogo, com o título "Error" e que contém a seguinte palavra:
"UI".
Em seguida um olho azul aparece no "system
tray" - ao lado do relógio do Windows.
Em seguida um arquivo, cópia exata do código
viral original, é criado na pasta \Windows\System, e que recebe o nome WINSVRC.VXD.
O Worm começa a agir, criando e/ou alterando
diversas chaves do Registro do Windows (vide A SOLUÇÃO)
o que garante que todos os acessos a algum executável façam um desvio no
arquivo do Worm - aqui um erro elementar o escritor cometeu: ele denominou o worm
de Winsvrc.vxd, mas colocou no Registro chamadas a Winsvrc.exe - daí aparece
uma janela de erro a cada tentativa de execução dos programas, já que não é
encontrado tal arquivo (uma rata fenomenal, mas que logo-logo seu criador
estará corrigindo!).
Em seguida ele checa a chave abaixo, para saber
se poderá utilizar o subsistema de mensagens do Windows para se propagar. A
chave que ele checa é a:
HKEY_CURRENT USER \SOFTWARE \Microsoft \Windows
Messaging Subsystem
Depois fica apenas no aguardo de que você se
conecte à Internet para ele enviar a todos os seus contatos, do Address Book do
Outlook Express e do MS-Outlook, uma mensagem com o NAVIDAD.EXE anexado, ou à
partir da hora em que chegar alguma mensagem que ficar NÃO-LIDA até a próxima
conexão com a Internet.
Variantes e Apelidos Conhecidos:
I-Worm.Navidad, W32/Watchit.intd
|
[topo]
|
|
