H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de
Virenbeschreibung

av_shad_2.gif (1951 Byte)
 

Der Internetwurm Navidad

Der Internetwurm TR.Worm.Navidad wird als Attachment (Dateianhang) über Emails von einem verseuchten Computer versendet. Das Attachment hat den Namen NAVIDAD.EXE. Aufgrund eines Programmierfehlers können nach seiner Aktivierung keine Anwendungen mit der Endung .EXE mehr ausgeführt werden.

Seit Januar 2001 gibt eine neue Variante von Navidad, die von AntiVir als W32.Navidad.B erkannt wird. Er hat die gleiche Schadensroutine wie sein Vorgänger, ist aber in seinem Aussehen unterschiedlich. Anstatt des Augensymbols in der Taskleiste bspw. zeigt diese Variante ein Blumensymbol.

 

Wenn sie die NAVIDAD.EXE ausgeführt haben, bekommen Sie folgende falsche Fehlermeldung zu sehen:

Während die vermeintliche Fehlermeldung erscheint, erstellt der Internetwurm im Verzeichnis %WINDOWS%\SYSTEM\ die Datei WINSVRC.VXD und verändert in der Registry die Standardeinträge für .EXE – Dateien um:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %*"

Damit sollte der Wurm jedes Mal ausgeführt werden, wenn eine .EXE Datei geöffnet wird. Hier ist dem Programmierer aber ein Fehler unterlaufen, da die WINSVRC als .VXD und nicht als .EXE angelegt wurde. Aus diesem Grund lassen sich anschließend keine Anwendungen mit der Endung .EXE mehr ausführen.

Desweiteren fügt er einen Eintrag in der Registry ein, um bei jedem Windows-Start ausgeführt zu werden (aber auch hier wieder der gleiche Fehler wie oben):

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
Win32BaseServiceMOD = C:\%ROOT%\System\winsvrc.exe

Als letztes trägt sich der Internetwurm noch in dem folgenden Registry-Key ein:

[HKEY_CURRENT_USER\Software\Navidad]

Nachdem Sie nun den „OK“ Button gedrückt haben erscheint ein „Auge“ in Windows Taskbar, das dann folgendermaßen aussieht:

Jetzt sehen Sie, dass der Internetwurm ihr System infiziert hat. Wenn Sie das Auge in der Windows Taskbar angeklickt haben kommen die zwei folgenden Meldungen, die Sie dann mit „OK“ bestätigen können.

Wenn Sie nun einen MAPI–fähigen Email-Client (benötigt die MAPI32.DLL) im Einsatz haben, infiziert der Internetwurm die ungelesenen Emails, indem er die Datei NAVIDAD.EXE anhängt und die Email wird an den jeweiligen Absender zurückgeschickt.

 

Entfernung 

Als erstes korrigieren Sie bitte den Eintrag, der für das Ausführen von .EXE Dateien zuständig ist. Dazu führen sie bitte die von uns bergeitgestellte Datei shell_op.reg aus. Anschließend öffnen Sie den Taskmanager und löschen dort die aktiven Tasks des Wurmes (NAVIDAD oder WINSVRC). Danach löschen Sie bitte die Dateien NAVIDAD.EXE sowie WINSVRC.VXD. Als letztes sollten noch die vom Wurm angelegten Registryeinträge entfernt werden. 

 

Entfernung (Variante W32.Navidad.B)

Zur Entfernung dieser Variante müssen Sie ebenfalls die shell_op.reg (s. oben) von unserer Seite downloaden. Nun starten Sie bitte von einer Systemdiskette und löschen die Datei WINTASK.EXE im WINDOWS\SYSTEM\ Verzeichnis. Danach rufen Sie das Programm REGEDIT unter DOS auf und geben als Parameter den Dateinamen mit Pfadangabe an (z.B. REGEDIT A:\SHELL_OP.REG). Nun können Sie Windows wieder starten und zusätzlich noch den RUN Eintrag der WINTASK.EXE in der REGISTRY löschen  (HKLM\Software\Microsoft\Windows\CurrentVersion\Run).

 

  weitere Virenbeschreibungen
  Virenkunde