Die DEUTSCHEN Trojaner-Seiten
Home
W32/Navidad (I-Worm.Navidad)


Der aus Spanien stammende Worm hat sich in den letzten Tagen auch zunehmend in Deutschland verbreiten können.

Der Worm wird per E-Mail Dateianhang verbreitet. Dieses geschieht in der Form, indem eingehende Mails auf einem infzierten System umgehend mit dem Worm als Anhang beantwortet werden. Somit ist eine Identifizierung des Worms über festgelegte Betreffzeilen wie bei vielen anderen Worms nicht möglich ! Betroffen sind hier alle MAPI-fähigen Mailprogramme wie z.B. Outlook und Outlook Express.
Das Attachement trägt den Namen "Navidad.exe" (32 KB gross). Führt der Anwender diese Datei aus, so erscheint eine Errormeldung mit dem Text "UI" und ein Icon in Form eines blauen Auges unten rechts im Desktop (also System-Tray).

Wir der Mauszeiger über das Icon (blaues Auge) bewegt, wird der im obigen Bild gezeigte spanische Text angezeigt, der übersetzt bedeutet: "Wir beobachten dich". Klickt jedoch der Anwender auf das Auge erscheint diese Dialogbox:


Nunca presionar este boton = Drücke niemals diesen Button

Wird auch dieser Button betätigt, erscheint erneut eine spanische Meldung:


In deutscher Sprache: Frohe Weihnachten. (Feliz Navidad) - Sie haben sich der Versuchung hingegeben und ihren Rechner verloren.

Diese Dialogbox kann auch mit dem "X" geschlossen werden, wonach wiederum eine Meldung erscheint: buena eleccion, heisst so viel wie "gute Wahl" und das Icon mit dem blauen Augen verschwindet. Wobei jedoch auch hier keinerlei positiven Auswirkungen festzustellen sind und der Worm weiterhin genauso schädliche Auswirkungen beinhaltet.

Navidad legt eine Kopie unter dem Namen "winsrvc.vxd" in das Windows - System Verzeichnis ab. Desweiteren werden Änderungen in der Registry vorgenommen, die jedoch fehlerhaft sind:

HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
Win32BaseServiceMOD = "C:\WINDOWS\SYSTEM\Winsvrc.exe"

HKEY_CLASSES_ROOT\exefile\shell\open\command\
(Default) = "C:\WINDOWS\SYSTEM\Winsvrc.exe "%1" %"

Statt der Dateiendung ".vxd" wurde die Endung ".exe" eingetragen. Der Worm wird somit nach einem Systemstart seine Aktivitäten nicht mehr aufnehmen können. Jedoch kann nicht ausgeschlossen werden, dass in sehr naher Zukunft "korrigierte" Versionen in den Umlauf kommen bzw. bereits sind.

Doch der an zweiter Stelle genannte Registry-Eintrag hat zur Folge, dass nach einem neuen Systemstart keine Exe-Dateien mehr ausgeführt werden können (siehe auch gleiches Problem unter diesem Report im Bezug des Sub7 Trojaners).

Entfernung:

Nach einer erfolgten Infektion den Rechner nicht neu starten ! Die Dateien "winsrvc.vxd" und "Navidad.exe" löschen. Nun müssen nur noch die oben genannten Registry-Einträge gelöscht bzw. umgeändert werden. Dieses funktioniert am einfachsten mit diesem Reg-File. Doppelklicken und bestätigen...

Sollte das System nach einer erfolgten Infektion bereits neu gestartet worden sein, so ist folgendermassen zu verfahren:

Reg-File downloaden und einfach auf Laufwerk "C" speichern. Nun Rechner im DOS starten und folgenden Befehl eingeben:

C:\>regedit naviddis.reg

Nach erneutem Windows-Start die weiter oben genannten Dateien entfernen.

Um wirklich sicher zu gehen, ob der Worm vollständig entfernt wurde, sollte ein Virenscanner mit aktuellem Update das gesamte System nochmals überprüfen.

(tt) 14.11.2000
Bildquelle: hoax-info.de