|
Win32/NavidadI-Worm/Navidad je dalÜφ z worm∙ rozesφlajφcφch se emailem - zaslan² soubor se jmenuje Navidad.exe a mß ikonu, kterß vypadß jako "Φßrov² k≤d".
Po spuÜt∞nφ zaslanΘ p°φlohy se nakopφruje do systΘmovΘho adresß°e Windows pod jmΘnem winsvrc.vxd a do klφΦe HKCR\exefile\shell\open\command se pokusφ nastavit svΘ spouÜt∞nφ (podobn² trik pou₧φvß PrettyPark).
Vloudila se tam ale drobnß chybiΦka a I-Worm/Navidad se zaregistruje jako winsvrc.exe, nikoliv jako winsvrc.vxd. Dφky tomu skonΦφ pokus o spuÜt∞nφ jakΘhokoliv EXE souboru chybov²m hlßÜenφm s textem "UI".
SvΘ spouÜt∞nφ po startu Windows zajistφ vytvo°enφm klφΦe Win32BaseServiceMOD v HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\, kam dß odkaz na sebe.
Krom∞ toho si jeÜt∞ vytvo°φ klφΦ HKCU\SOFTWARE\Navidad. Na taskbaru si d∞lß ikonku s oΦiΦkem a reaguje na manipulaci s nφm. Pou₧φvß p°i tom tyto Üpan∞lskΘ texty:
TΘ estamos mirando..
Lo estamos mirando...
buena eleccion...
Lamentablemente cayo en la tentacion y perdio su computadora
Feliz Navidad
Nunca presionar este boton
Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG
|
|
