Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

W32.Navidad.A


alias: I-Worm.Navidad, W32/Watchit.intd, I-Worm_Navidad, W32/Navidad

Der W32.Navidad ist ein unverschlüsselter, exakt 32 kb großer Wurm.
Der Wurm wurde an IKARUS Software weitergeleitet, da er in Südamerika eine Vielzahl von
Infektionen verursacht hat. Nachdem er über ausgezeichnete Replikationsfähigkeiten, also
Eigenschaften sich zu verbreiten, verfügt, ist es nur mehr eine Frage der Zeit, bis sich das
Virus auch nach Europa durchschlägt. Erwähnenswert ist der Wurm deshalb, da seine Schadensfunktion
im Falle eines nicht korrekten "Desinfektionsversuchs" das Betriebssystem nicht nur Schach Matt
setzt sondern auch eine Wiederinbetriebnahme des PC ausgesprochen schwierig wird und einiges an
"Kunstgriffen" erfordert. Der Wurm kommt als eMail in Ihren Pc und führt im Attachment eine Datei
mit dem Namen "navidad.exe" mit. Wird diese beim Anwender gestartet, erscheint eine Message mit
dem Text "UI" auf den Schirm. Klickt der Anwender auf das Display erscheint eine weitere Nachricht
"Nunca presionar este boton" mit der Aufforderung einen weiteren Button zu klicken.
Dies führt dazu, daß der Wurm vermeintliche Weihnachtsgrüße auf den Schirm poppt:

Feliz Navidad
Lamentablemente cayo en la tentacion y perdio su computadora.

Danach kopiert sich das Virus als winsvrc.vxd bzw. winsvrc.exe ins System-Verzeichnis und verpasst
der Registry den obligatorischen Run-Eintrag:

HKLM\software.microsoft.windows.currentversion.run"Win32BaseServiceMOD = (systemdir)\winsvrc.exe"
und
Hkey_classes_root\exefile\shell\open\command = "(systemdir)\winsvrc.exe"%1" %*"

Damit wird sichergestellt, daß der Wurm auch zuverlässig mit dem Reboot aktiviert wird. Wird nur
die "winsvrc.exe" und nicht das gesamte Virus entfernt, kann der Betriebssystem keine EXE Dateien
mehr ausführen und kann nur mühsam wieder in Gang gesetzt werden.


Wir empfehlen mit Nachdruck keine Attachments mit dem Namen "NAVIDAD.EXE" zu starten, die via
eMail an Sie gesandt wurden. Regedit.exe kopieren auf Regedit2.com, diese kann dann gestartet
werden und damit können die Registrywerte zurückgesetzt werden. Aktivieren Sie wenn möglich
sofort einen eMail Filter, der Attachments, die Executables mit den o.g. Namen enthalten, abblockt
bzw. in eigens dafür vorgesehene Quarantänebereiche stellt. Ein Update Ihres Virenschutzprogamms
ist empfehlenswert.








Linktipps: Schmutzfangmatte