Karácsonyi meglepetés: a Navidad vírus

A Network Associates McAfee osztálya alacsonyról közepesre emelte a Navidad e-mail vírus jelzett veszélyességi szintjét. Szerintük a vírus a napokban megnövelte terjedési sebességét.


Jelenleg a rosszindulatú programot azonban akadályozza egy kisebb hibája, mely lehetővé teszi az inaktívvá tételét. A felhasználók a vírust egy e-mail csatolt fájljaként kaphatják meg. A NAVIDAD.EXE egy fertőzött géphez küldött e-mailünk után jön vissza válaszként. Ha a vírus megfertőzte a gépet, képtelenné teszi a felhasználót az "exe" kiterjesztésű fájlok futtatására. A navidad a karácsony spanyol megfelelője.

A McAfee AVERT (Anti-Virus Emergency Response Team) laboratóriuma szerint több, mint negyven bejelentés érkezett hozzájuk a vírusról, az elmúlt három napban. A vírus kiszűrését nehezíti, hogy a fertőző e-mailnek nincs egységes téma megjelölése, hanem az eredeti levél témáját használja, mint egy általános válaszban, "Re:" előtaggal. A féreg típusú program a Microsoft Outlook MAPI-ját használja fel a terjedéshez.

A NAVIDAD.EXE lefuttatása után egy "UI" feliratú hibaüzenet jelenik meg a képernyőn. A Taskbaron ettől kezdve egy kék szem ikon található az óra mellett. A vírus a Windows system könyvárában, egy "winsvrc.vxd" fájlban menti el magát. Ha az egérmutatót a kék szem ikon fölé helyezzük, a következő felirat jelenik meg: "Lo estamos mirando...". A felirat jelentése "figyeljük". Az ikonra kattintva egy "Nunca presionar este botón" (ne nyomd meg a gombot) feliratú gomb jelenik meg. A gombra kattintás után egy üzenetablak jelenik meg, melynek szövege ezt mondja: "Kellemes karácsonyt! Sajnos kísértésbe estél, és most vége a számítógépednek!".

Az ablak bezárható a jobb felső sarokban lévő "X" gombra kattintással, majd a megjelenő nagy kék "Don't press me" gombbal, melyet az új ablakon lévő "Ok" gombra kattintás követ. Ekkor a kék szem ikon eltűnik a taskbarról. A vírus egy hibát tartalmaz az AVERT szerint, mivel az úgy módosítja a rendszer registry-jét, hogy futtasson egy exe fájlt, ami nem létezik azt megelőzően, hogy egy exe fájlt futtattunk volna a rendszeren.

Ez egy hibaüzenetet okoz, amikor megpróbálunk elindítani egy olyan programot, ami nem futott a vírus feltelepedésekor. A vírus inaktívvá tehető, ha a DOS ablakot előhívjuk, és a Windows könyvtárában a regedit.exe-t regedit.com névre átmásoljuk. A regedit.com elindítása után a registryben meg kell keresni a fertőzött fájlt, és ki kell törölni.
A vírus összeségében nem túlságosan veszélyes, de azért arra jó, hogy megerősítse a Microsoft hitét, miszerint az Outlookkal tenni kell valamit.