Vírus e cia.

Navidad

É um worm de computador, identificado entre os dias 5 e 7 de novembro de 2000 como "Navidad", Natal em espanhol. Também é conhecido por: I-Worm.Navidad, W32/Watchit.intd, I-Worm_Navidad, W32/Navidad.

A ação do "Navidad"

É mais um programa que se espalha usando o programa de correio eletrônico. O mail será recebido de uma pessoa conhecidaou de uma lista, pois ele utiliza o Address Book do Outlook Express e do MS-Outlook (não há registros, de que outros "mailers" - como o Messenger da Netscape, o Pegasus Mail ou o Eudora - possam servir de plataformapara a sua disseminação).

A mensagem tem o campo Assunto - Subject - totalmente variável (pois é usado o mesmo campo de outro e-mail) e não há texto. Apenas apresenta o arquivo anexado "Navidade.exe".

O anexo só consegue contaminar um computador se o receptor executá-lo (dando um clique duplo sobre o arquivo no windows explorer, por exemplo).

Como o remetente do mail é alguém que acaba de enviar um e-mail o risco de executá-lo é grande.

Depois de executado ele impede que o usuário utilize arquivos com extensão .exe, ou seja não se conseguirá executar a maioria dos programas dentro do Windows.

Sinais de infecção

Após a execução aparece uma caixa de diálogo com o título "Error", onde se lê "UI". Se o vírus esiver ativo na memória aparecem outros sinais:

Um novo ícone com a figura de um olho azul surge na "bandeja" do Windows - a área ao lado do relógio. Se o cursor for colocado sobre o olho, aparecerá uma janela onde se lê:
     "Lo estamos mirando..."
Se o olho for clicado um botão aparece informando:
     "Nunca presionar este boton"
Se o botão for pressionado uma caixa de mensagem (com o título "Feliz Navidad") surgirá, tendo o seguinte conteúdo:
    "Lamentablemente cayo en la tentacion y perdio su computadora"

Nota: foi verificado que em várias máquinas, após se posicionar o mouse sobre o olho azul, ele desaparece definitivamente.
(Esta mensagem é só para assustar, na verdade não há danos ao pc).

Então, um arquivo,"winsvrc.vxd", que é cópia do worm é colocado na pasta Windows / System e usa a biblioteca Mapi32.dll, enumera os mails recebidos e não respondidos, pega os endereços dos remetentes e se autoenvia para eles. Todos os mails recebidos serão respondidos automaticamente, sempre anexando o arquivo do Navidad.

Paralelamente, várias entradas do registro do Windows são modificadas tornando impossível a execução de arquivos EXE.

A variante Emanuel

O programa original TROJ_NAVIDAD.A contém um bug, que ocasiona o aparecimento de uma mensagem de erro sempre que um arquivo .EXE é executado. Entretanto, um variante, chamado Emanuel, não apresenta esse problema. Ele se instala corretamente e se autoenvia para o livro de endereços do programa de correio eletrônico, como um arquivo anexado, o Emanuel.exe.

Indicações de infecção

- Um novo ícone com a figura de um olho azul aparece na "bandeja" do Windows - a área ao lado do relógio.
- Existência do arquivo "winsvrc.vxd" na pasta Windows / System

Configuração original do "Navidad" no e-mail recebido

Assunto - Subject: (qualquer título)
Texto da mensagem - Body: (Não há)
Arquivo anexo - Attachement: Navidad.exe, com tamanho = 32.768 bytes).

Remoção manual do "Navidad"

Procedimentos para desinfectar uma máquina que contenha o "Navidad"

IMPORTANTE: Só execute esses procedimentos se realmente souber fazê-lo (edição de registro do Windows e uso de comandos do DOS), caso contrário recorra a alguém que tenha um bom conhecimento técnico para desinfectar o seu computador. Erros neste processo podem provocar danos sérios. Assim, imprima essa página para, depois, poder seguir as instruções, passo a passo.

a Primeiramente, é necessário conseguir acessar novamente o editor do Registro do Windows. Como é um arquivo com extensão EXE, REGEDIT.EXE, também não roda no micro.
Para renomear o arquivo para REGEDIT.COM deve-se ir ao prompt do DOS.
Digitar: cd\windows
e, depois, digitar: ren regedit.exe regedit.com
(Se o sistema operacional for o Windows NT utilize o seguinte comando: ren regedt32.exe regedt32.com)

b Clique em Iniciar / Executar

c Digitar REGEDIT (ou REGEDT32) e pressionar a tecla ENTER

d Navegar pelas chaves do registro até entrar em:
HKEY_CURENT_USER\SOFTWARE\Navidad

e Clicar em DELETE. Responder SIM para apagar as chaves.

f Navegar pelas chaves do registro até entrar em HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run

g Encontrar a chave com o nome:
Win32BaseserviceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe   Deletar.

h Navegar pelas chaves do registro até entrar em
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft\Windows\CurrentVersion \RunServices

i. Se encontrar uma chave com o nome
Win32BaseserviceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe   Deletar.

j. Se encontrar uma chave com o nome
Win32BaseserviceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe   Deletar.

k. Navegar pelas chaves do registro até entrar em
HKEY_CLASSES_ROOT \exefile \shell \open\command

l. Deixar apenas a parte "%1" %*   (removendo C:\WINDOWS\SYSTEM\winsvrc.exe)

m. Verificar se o registro contém a chave abaixo e deletar, se existir:
HKEY_CLASSES_ROOT \.dl (note: é apenas um ponto, um D e um L)

n. Navegar pelas chaves do registro até entrar em
HKEYLOCAL_MACHINE \Software \CASSES \exefile \shell \open \command

o. Se encontrar uma chave com o nome
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1"%*
deixar apenas a parte "%1" %* (removendo C:\WINDOWS\SYSTEM\winsvrc.exe)

p. Sair do Editor do Registro.

q. Desligar o micro normalmente e deixar desligado por 10 segundos. Religar.

r. Verificar a lista de arquivos em execução:
- (teclar control alt e del simultaneamente). Na janela que se abre clicar em "Navidad" e em Winsvrc", se presentes. Clicar no botão "Terminar tarefa" para ambos.

s. Clicar em botào Iniciar / Localizar e procurar o arquivoWinsvrc.exe. Deve estar na pasta C:\WINDOWS\SYSTEM.Deletar o arquivo.

t. Se aparecer um aviso de ERRO - informando que o arquivo não pode ser deletado significa que as instruções anteriores não foram seguidas corretamente. Recomece desde o primeiro passo.

u. Abrir o programa de e-mail e deletar todas as mensagens que tenham o anexo NAVIDAD.EXE

v. Dependendo do sistema operacional instalado é possível que existam outras chamadas dentro do sistema, as quais também devem ser eliminadas, se forem encontradas. Procure-as nos seguintes arquivos:
* WIN.INI - na linha run= que fica na seção windows
* SYSTEM.INI - na linha shell= que fica na seção [boot] - esta linha só deve conter referência ao arquivo EXPLORER.EXE. nada mais;

O Worm começa a agir, criando e/ou alterando diversas chaves no registro do Windows, o que garante que todos os acessos a algum arquivo executável façam um desvio para o arquivo do Worm).

Remoção por meio de programas antivírus

Para usuários do antivírus McAfee, copie e instale o arquivo SuperDat (4.1.00/4105). Execute o arquivo sobre todos os seus discos rígidos.

Cuidados especiais

Avise as pessoas para quem mandou mensagens que pode lhes ter enviado um worm.
Avise-as sobre o "Navidad" e indique-lhes essa hp pra que, se necessário, elas aprendam a se livrar dele.

Medidas gerais de prevenção

Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos conectados à Internet).

Essas medidas podem ser resumidas assim:

1. Jamais executar um programa ou abrir um arquivo sem antes executar o antivírus sobre a pasta que o contenha.

2. Atualizar o seu antivírus constantemente (todas as semanas e até diariamente as empresas distribuem cópias gratuitas dos arquivos que atualizam a lista dos novos vírus e vacinas).

3. Desativar a opção de executar documentos diretamente do programa de correio eletrônico.

4. Jamais executar programas que não tenham sido obtidos de fontes absolutamente confiáveis.

Leia mais sobre esse assunto, clicando aqui.

Onde obter mais informações

http://idgnow.uol.com.br/idgnow/pcnews/2000/11/0023

http://superdicas.com/virusalerta/navidad_repo.html

http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NAVIDAD.A

http://www.f-secure.com/v-descs/navidad.htm

http://www.mcafee.com/anti-virus/viruses/Navidad/default.asp?cid=1956

http://www.pandasoftware.com/

http://www.symantec.com/region/br/avcenter/data/w32.navidad-br.html

Este "site", destinado prioritariamente aos alunos de Fátima Conti,
pretende auxiliar quem esteja começando a se interessar por internet,
segue as regras da FDL (Free Documentation Licence),
computadores e programas, estando em permanente construção.
Sugestões e comentários são bem vindos.
Se desejar colaborar, clique aqui.
Agradeço antecipadamente.

Deseja enviar essa página?

Se você usa um programa de correio eletrônico devidamente configurado e tem
um e-mail pop3, clique em "Enviar página" (abaixo) para abrir o programa.
Preencha o endereço do destinatário da mensagem.
E pode acrescentar o que quiser.
(Se não der certo, clique aqui para saber mais).

Enviar página

Se você usa webmail copie o endereço abaixo

http://www.cultura.ufpa.br/dicas/vir/vir-navi.htm

Acesse a página do seu provedor. Abra uma nova mensagem.
Cole o endereço no campo de texto.
Preencha o endereço do destinatário.
E também pode acrescentar o que quiser.

Última alteração: 20 fev 2007

a	Primeiramente, é necessário conseguir acessar novamente o editor do Registro do Windows. Como é um arquivo com extensão EXE, REGEDIT.EXE, também não roda no micro. Para renomear o arquivo para REGEDIT.COM deve-se ir ao prompt do DOS. Digitar: cd\windows e, depois, digitar: ren regedit.exe regedit.com (Se o sistema operacional for o Windows NT utilize o seguinte comando: ren regedt32.exe regedt32.com)
b	Clique em Iniciar / Executar
c	Digitar REGEDIT (ou REGEDT32) e pressionar a tecla ENTER
d	Navegar pelas chaves do registro até entrar em: HKEY_CURENT_USER\SOFTWARE\Navidad
e	Clicar em DELETE. Responder SIM para apagar as chaves.
f	Navegar pelas chaves do registro até entrar em HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run
g	Encontrar a chave com o nome: Win32BaseserviceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe Deletar.
h	Navegar pelas chaves do registro até entrar em HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft\Windows\CurrentVersion \RunServices
i.	Se encontrar uma chave com o nome Win32BaseserviceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe Deletar.
j.	Se encontrar uma chave com o nome Win32BaseserviceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe Deletar.
k.	Navegar pelas chaves do registro até entrar em HKEY_CLASSES_ROOT \exefile \shell \open\command
l.	Deixar apenas a parte "%1" %* (removendo C:\WINDOWS\SYSTEM\winsvrc.exe)
m.	Verificar se o registro contém a chave abaixo e deletar, se existir: HKEY_CLASSES_ROOT \.dl (note: é apenas um ponto, um D e um L)
n.	Navegar pelas chaves do registro até entrar em HKEYLOCAL_MACHINE \Software \CASSES \exefile \shell \open \command
o.	Se encontrar uma chave com o nome (default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1"%* deixar apenas a parte "%1" %* (removendo C:\WINDOWS\SYSTEM\winsvrc.exe)
p.	Sair do Editor do Registro.
q.	Desligar o micro normalmente e deixar desligado por 10 segundos. Religar.
r.	Verificar a lista de arquivos em execução: - (teclar control alt e del simultaneamente). Na janela que se abre clicar em "Navidad" e em Winsvrc", se presentes. Clicar no botão "Terminar tarefa" para ambos.
s.	Clicar em botào Iniciar / Localizar e procurar o arquivoWinsvrc.exe. Deve estar na pasta C:\WINDOWS\SYSTEM.Deletar o arquivo.
t.	Se aparecer um aviso de ERRO - informando que o arquivo não pode ser deletado significa que as instruções anteriores não foram seguidas corretamente. Recomece desde o primeiro passo.
u.	Abrir o programa de e-mail e deletar todas as mensagens que tenham o anexo NAVIDAD.EXE
v.	Dependendo do sistema operacional instalado é possível que existam outras chamadas dentro do sistema, as quais também devem ser eliminadas, se forem encontradas. Procure-as nos seguintes arquivos: * WIN.INI - na linha run= que fica na seção windows * SYSTEM.INI - na linha shell= que fica na seção [boot] - esta linha só deve conter referência ao arquivo EXPLORER.EXE. nada mais;