TU-Logo

TU Startseite


Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Microsoft IE
Java / JS
Win 3.1x
Win 32
Mac
Unix
Amiga
OS/2, Atari, NeXT,...
Suchmaschinen

erweiterte Suche in diesen Seiten
Privacy Policy

 

nach oben
 

© TU Berlin, tubIT, Bearbeiter: Frank Ziemann  -  Update: 02.09.2009


Extra-Blatt

Wurm: W32/Navidad (I-Worm.Navidad)

Wurm mit kleinen Fehlern verhindert Start aller EXE-Dateien
neue Variante: Navidad.B als Emanuel.exe

Navidad ist ein Wurm, der sich per E-Mail verbreitet. Er kommt als Dateianhang mit dem Dateinamen "Navidad.exe" (Größe: 32 KB). Wird diese Datei ausgeführt, erscheint eine Meldung mit dem Titel "Error" und dem Text "UI" und im System-Tray (rechts unten in der Task-Leiste) erscheint ein Icon, das aus einem blauen Auge besteht.

Navidad UI Navidad Tray

Fährt der Mauszeiger über das 'Auge', erscheint der Text "Lo estamos mirando...", was soviel bedeutet wie "Wir beobachten Dich...". Klick man auf das Icon, erscheint eine Dialog-Box mit dem Text "Nunca presionar este boton" ("Drücke niemals diesen Knopf"). Klick man auf diesen Knopf, erscheint eine weitere Meldung:

Navidad: Knopf nie drücken --> Navidad: Leider...

Sie trägt den Titel "Feliz Navidad" ("Frohe Weihnachten") und den Text "Lamentablemente cayo en la tentacion y perdio su computadora" ("Leider erlag er der Versuchung und verlor seinen Computer"). Schließt man die Dialog-Box mit dem [X] statt auf den Knopf zu drücken, meldet das Programm "buena eleccion" ("gute Wahl"). Dieses Spielchen hat jedoch keinerlei Auswirkung, es dient nur zur Ablenkung.

Eine Kopie der Navidad.exe wird im Windows\System-Verzeichnis als "winsrvc.vxd" abgelegt und (fehlerhaft!) in die Registry eingetragen, damit sie bei jedem Windows-Start geladen wird:

HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
  Win32BaseServiceMOD = "C:\WINDOWS\SYSTEM\Winsvrc.exe"
HKEY_CLASSES_ROOT\exefile\shell\open\command\
  (Standard) = "C:\WINDOWS\SYSTEM\Winsvrc.exe "%1" %"

Alle Mails, die Sie von nun an erhalten, sollten von W32/Navidad beantwortet werden. Die Antwort-Mails enthalten wiederum die Datei Navidad.exe. Betroffen sind Anwender von MS Outlook und Outlook Express sowie anderer MAPI-konformer Mail-Clients (was die Weiterverbreitung von infizierten Rechnern aus angeht).
Soweit jedenfalls die Theorie des Autors. Durch den obigen falschen Eintrag (Endung 'exe' statt 'vxd', oder andersrum: Datei wird mit falscher Endung angelegt) kann der Wurm nicht aktiv werden. Es ist allerdings denkbar, dass auch Versionen unterwegs sind, die diesen Fehler nicht mehr haben.

Der zweite Eintrag hat allerdings noch weitaus gravierendere Folgen:
Die Ausführung aller EXE-Dateien wird nach dem nächsten Windows-Neustart verhindert!

W32/Navidad entfernen
Starten Sie den Rechner auf keinen Fall neu, wenn Sie die Navidad.exe ausgeführt haben!
Um W32/Navidad wieder zu entfernen, löschen Sie die Dateien "Navidad.exe" und "winsrvc.vxd" und entfernen Sie den ersten der obigen Registry-Einträge und korrigieren Sie den zweiten. Dieser muss lauten:

HKEY_CLASSES_ROOT\exefile\shell\open\command\
  (Standard) = "%1" %*

Der Eintrag besteht also aus genau sieben (7) Zeichen.

Dazu müssen Sie allerdings die Datei regedit.exe vorübergehend in regedit.com umbennen, da Dateien mit der Endung ".exe" ja nun nicht mehr ausgeführt werden können.

Haben Sie den Rechner bereits neu gestartet oder heruntergefahren, starten Sie ihn mit reinem DOS und importieren Sie diese REG-Datei (die Sie natürlich auch verwenden können, wenn Sie noch nicht neu gestartet haben, s.o.):

C:\>regedit naviddis.reg

Starten Sie nun Windows und löschen Sie die Dateien "Navidad.exe" und "winsrvc.vxd".

Alternativ können Sie auch ein Programm von Symantec verwenden, das W32/Navidad entfernt.

Scannen Sie den Rechner zum Abschluss mit einem Antivirus-Programm, das W32/Navidad erkennt. Für die meisten Antivirus-Programme dürften bereits Updates verfügbar sein. [Antivirus-Programme]

Infos und Updates von Antivirus-Firmen zu W32/Navidad:


nach oben | zurück zur Hoax-Seite | zurück zur Virusinfo Übersicht | zurück zur Antivirus-Seite