|
Win32/NavidadI-Worm/Navidad je další z wormů rozesílajících se emailem - zaslaný soubor se jmenuje Navidad.exe a má ikonu, která vypadá jako "čárový kód".
Po spuštění zaslané přílohy se nakopíruje do systémového adresáře Windows pod jménem winsvrc.vxd a do klíče HKCR\exefile\shell\open\command se pokusí nastavit své spouštění (podobný trik používá PrettyPark).
Vloudila se tam ale drobná chybička a I-Worm/Navidad se zaregistruje jako winsvrc.exe, nikoliv jako winsvrc.vxd. Díky tomu skončí pokus o spuštění jakéhokoliv EXE souboru chybovým hlášením s textem "UI".
Své spouštění po startu Windows zajistí vytvořením klíče Win32BaseServiceMOD v HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\, kam dá odkaz na sebe.
Kromě toho si ještě vytvoří klíč HKCU\SOFTWARE\Navidad. Na taskbaru si dělá ikonku s očičkem a reaguje na manipulaci s ním. Používá při tom tyto španělské texty:
Té estamos mirando..
Lo estamos mirando...
buena eleccion...
Lamentablemente cayo en la tentacion y perdio su computadora
Feliz Navidad
Nunca presionar este boton
Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG
|
|