|
        
|
I-Worm/Navidad
I-Worm/Navidad je další z wormů rozesílajících se emailem - zaslaný soubor se jmenuje Navidad.exe a má ikonu, která vypadá jako "čárový kód". Po spuštění zaslané přílohy se nakopíruje do systémového adresáře Windows pod jménem winsvrc.vxd a do klíče HKCR\exefile\shell\open\command se pokusí nastavit své spouštění (podobný trik používá PrettyPark). Vloudila se tam ale drobná chybička a I-Worm/Navidad se zaregistruje jako winsvrc.exe, nikoliv jako winsvrc.vxd. Díky tomu skončí pokus o spuštění jakéhokoliv EXE souboru chybovým hlášením s textem "UI". Své spouštění po startu Windows zajistí vytvořením klíče Win32BaseServiceMOD v HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\, kam dá odkaz na sebe. Kromě toho si ještě vytvoří klíč HKCU\SOFTWARE\Navidad. Na taskbaru si dělá ikonku s očičkem a reaguje na manipulaci s ním. Používá při tom tyto španělské texty:Té estamos mirando.. Lo estamos mirando... buena eleccion... Lamentablemente cayo en la tentacion y perdio su computadora Feliz Navidad Nunca presionar este boton
Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG
