VIRUS INFO
|
| Naziv
virusa: |
W32/Navidad |
| Alias:
|
I-Worm.Navidad,
TROJ_NAVIDAD.A, W32/Watchit, Win32/Navidad.Worm,
W32/Watchit, W32/Navidad@M |
| Tip: |
Win32
izvršni fajl virus/worm |
| Način
širenja: |
startovanjem
zaraženog fajla |
| Veličina: |
32
768 bajtova |
Destruktivan:
|
ne |
| Datum
aktiviranja: |
|
| Otkriven:
|
6.11.2000. |
OBJAŠNJENJE
Stiže
kao e-mail od nekoga koga poznajete sa attachmentom
NAVIDAD.EXE. Kada se pristigli fajl startuje,
prikazaće se sledeća
poruka
Kada korisnik pritisne na ponuđeno dugme, crv
skenira Inbox
korisnikovog e-mail programa i pošalje se na sve
e-mail adrese na koje naiđe. Ovo mu je omogućeno
Micrtosoftovim Messaging API (MAPI)
funkcijama. Svaki poslani e-mail je sa Subject
linijom koju mu je poznanik poslao ali je telo
poruke prazno sa attachmentom NAVIDAD.EXE.
Kada
ovo uradi, crv kreira sledeća četiri fajla:
C:\WINDOWS\WINSVRC.VXD
C:\WINDOWS\WINSVRC.EXE
C:\WINDOWS\SYSTEM\WINSVRC.VXD i
C:\WINDOWS\SYSTEM\WINSVRC.EXE.
Posle
ovoga crv izmeni Registry bazu i ubaci sledeće
redove:
HKEY_LOCAL_MACHINE
\ Software \ Microsoft \ Windows \ CurrentVersion
\ Run \ C: \ WINDOWS \ WINSVRC.VXD, HKEY_CLASSES_ROOT
\ exefile \ shell \ open \ command \ C:
\ WINDOWS \ winsvrc.exe %1 %*,
HKEY_LOCAL_MACHINE
\ SOFTWARE \ Microsoft \ Windows \ CurrentVersion
\ Run \ Win32BaseServiceMOD=C: \ WINDOWS \ SYSTEM
\ winsvrc.exe i HKEY_CURRENT_USER \ Software \
Navidad.
Kod
časovnika se pojavljuje sledeća
slika.
Kada se 2 puta klikne na ovu ikonicu, pojaviće
se sledeća
slika, a kada se pritisne na ponuđeno dugme
pojavi se sledeća
slika.
Zavisno
od verzija koje postoje i kojom ste zaraženi,
može se desiti da posle ovoga nećete moći da startujete
nijedan EXE fajl i Windows će prikazati
sledeću
poruku.
Međutim,
virus je napisan tako da svaki put kada se startuje
bilo koji EXE fajl, bude i on startovan.
REŠENJE
Prvo
što treba da se uradi kako bi cela operacija
uklanjanja bila uspešna i bezbolna za
sistem, otići u MS-DOS mod, i u direktorijumu
C:\WINDOWS i preimenovati REGEDIT.EXE
u REGEDIT.COM
(COPY REGEDIT.EXE REGEDIT.COM).
Vratiti
se u Windows i preko RUN opcije u START
meniju pokrenuti Registry
bazu tako što ćete sada otkucati REGEDIT.COM.
U ovako startovanoj Registy bazi izmeniti sledeće
ključeve:
HKEY_CLASSES_ROOT \ exefile \ shell \ open
\ command \ HKEY_LOCAL MACHINE \ Software \ CLASSES
\ exefile \ shell \ open \ command
gde
treba da stoji vrednost "'%1'' %*".
Obrisati stavke koje stoje u sledećem ključu:
HKEY_LOCAL_MACHINE
\ SOFTWARE \ Microsoft \ Windows \ CurrentVersion
\ Run \
a
imaju neke veze sa fajlovima koji će se kasnije
obrisati.
Posle ovoga treba preimenovati REGEDIT.COM
u REGEDIT.EXE
(COPY REGEDIT.COM REGEDIT.EXE)
i resetovati Windows.
Posle
ovoga treba obrisati sledeće fajlove:
C:\WINDOWS\WINSVRC.VXD
C:\WINDOWS\WINSVRC.EXE
C:\WINDOWS\SYSTEM\WINSVRC.VXD i
C:\WINDOWS\SYSTEM\WINSVRC.EXE.
Ako kojim slučajem Windows prijavi neku grešku
prilikom brisanja ovih fajlova, znači da niste
pratili dobro ove instrukcije i preporuka je da
krenete od početka.
Ako
ste se kojim slučajem zarazili sa ovim
virusom, preuzmite ovaj Navidad
remover.
Ako Vam remover prijavi grešku da nije
uspeo da ukloni iz Registry baze sve ključeve
(zbog greške u kodu samog virusa kojim
ste se zarazili), preuzmite Undo
za Registry bazu. Ovim ćete u stvari zapisati
sve promene koje je virus trebao da zapiše
u Registry bazu ali onda ponovo startujete
remover i tada će sve biti obrisano što
treba da bude.
|
