Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

I-Worm/Navidad

I-Worm/Navidad je další z wormů rozesílajících se emailem - zaslaný soubor se jmenuje Navidad.exe a má ikonu, která vypadá jako "čárový kód". Po spuštění zaslané přílohy se nakopíruje do systémového adresáře Windows pod jménem winsvrc.vxd a do klíče HKCR\exefile\shell\open\command se pokusí nastavit své spouštění (podobný trik používá PrettyPark). Vloudila se tam ale drobná chybička a I-Worm/Navidad se zaregistruje jako winsvrc.exe, nikoliv jako winsvrc.vxd. Díky tomu skončí pokus o spuštění jakéhokoliv EXE souboru chybovým hlášením s textem "UI". Své spouštění po startu Windows zajistí vytvořením klíče Win32BaseServiceMOD v HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\, kam dá odkaz na sebe. Kromě toho si ještě vytvoří klíč HKCU\SOFTWARE\Navidad. Na taskbaru si dělá ikonku s očičkem a reaguje na manipulaci s ním. Používá při tom tyto španělské texty:
    Té estamos mirando..
    Lo estamos mirando...
    buena eleccion...
    Lamentablemente cayo en la tentacion y perdio su computadora
    Feliz Navidad
    Nunca presionar este boton
    


Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG


Zpět