GUSANO

W32/NAVIDAD

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: I-Worm.Navidad, W32/Watchit.intd, I-Worm_Navidad, W32/Navidad 
Tamaño: 32.768 

Es un gusano de Internet. Se distribuye desde un equipo infectado como archivo adjunto a un correo electrónico con el nombre NAVIDAD.EXE. La copia original recibida tiene un fallo que convierte en inoperable un sistema infectado ya que no es posible ejecutar archivos EXE.

Al ejecutar el archivo NAVIDAD.EXE se instala a sí mismo dentro del directorio System de Windows como WINSVRC.VXD y modifica varias claves del registro. Cambia la clave por defecto del archivo EXE de arranque:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

para asegurar su arranque a la vez que cada archivo EXE. También garantiza su ejecución cada vez que se arranca Windows creando otra clave de arranque en:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run].

Por otro lado introduce la clave "Navidad" en la sección:

[HKEY_CURRENT_USER\Software]

Pero hay un bug en el código del gusano - las claves del Registro son creadas para el archivo WINSVRC.EXE mientras que el gusano se instala a sí mismo como el archivo WINSVRC.VXD. El resultado es que no se pueden ejecutar los archivos EXE en un sistema infectado. Tampoco consigue activarse en el siguiente arranque de Windows. 

Para solucionar el problema causado por este gusano, descargue y ejecute el parche especial. Restaurará el valor de la clave por defecto del archivo EXE de arranque, eliminando también la clave de auto-arranque del gusano.

Durante la instalación el gusano muestra un mensaje de error falso: UI

Cuando el usuario pulsa el botón OK del anterior mensaje de error, aparece el icono de un ojo en la barra de tareas de Windows.

Este es el principal signo indicativo de que el gusano Navidad ha infectado un sistema. Cuando un usuario hace clic sobre ese icono, aparece una caja:
Nunca presionar este botón
Si se presiona el botón aparece una nueva caja de diálogo:
Lamentablemente cayo en la tentación y perdió su computadora.

Cuando el gusano está activo conecta una aplicación de correo compatible con MAPI utilizando la librería MAPI32.DLL, enumera todos lo correos no leídos, obtiene de ellos la dirección de correo y se envía a sí mismo a estas direcciones.

Es bastante fácil eliminar este gusano de un sistema infectado. Lo primero que ha de hacer es ejecutar el archivo Naviddis.reg, luego abrir el Administrador de Tareas y eliminar de aquí las tareas "NAVIDAD" y "WINSVRC.VXD". Es entonces cuando hay que eliminar los archivos del gusano NAVIDAD.EXE y WINSVRC.VXD.


Copyright © VIRUSPROT.COM