ALERTA VIRAL # 00-09
* * * * * LO BUENO Y LO MALO DE LA NAVIDAD * * * * *
ALERTA VIRAL # 00-09
* * * * * LO BUENO Y LO MALO DE LA NAVIDAD * * * * *
Nombre: W95/Navidad@m
worm
Alias: Navidad
Tipo: Ejecutable Windows 32
Descripción:
En la semana del
6 al 12 de noviembre del 2000 se recibieron múltiples
reportes de la
aparición del gusano denominado "Navidad". Los reportes
indican la presencia
del gusano en todo el continente americano.
Navidad llega
por correo electrónico en un anexo llamado NAVIDAD.EXE,
generalmente
este correo proviene de una persona que el usuario conoce y a
quien se envió
recientemente algún mensaje. Por ello los usuarios no
desconfían
del mensaje ni de su contenido. Si usted envía un mensaje a una
persona conocida
y en poco tiempo recibe respuesta a ese mensaje con el
anexo NAVIDAD.EXE,
será el gusano quien le estará respondiendo realmente.
Lo malo del Navidad
es que contiene rutinas destructivas que se activan, al
menos en teoría,
el 25 de diciembre.
Lo bueno es que
debido a errores en el procedimiento de instalación, quizá
nunca llegue
a activarse la rutina destructora.
Lo malo es que
después de instalarse, no funcionará prácticamente
ningún
programa del
usuario.
Lo bueno es que
es muy sencillo de erradicar: basta borrar los archivos
NAVIDAD.EXE (en
donde se encuentre) y el archivo WINSVRC.VXD de la ruta
C:\WINDOWS\SYSTEM.
Finalmente se eliminan las llaves del registry de
Windows con las
que el Navidad pretende ejecutarse en el siguiente arranque
del sistema.
Las llaves correctas deben verse así:
HKEY_CLASSES_ROOT\exefile\shell\open\command @="\"%1\" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Win32BaseServiceMOD"
= ""
Lo malo es que
el Navidad no puede eliminarse como un virus porque no lo
es, tiene que
eliminarse en forma manual.
Lo bueno es que
borrar los dos archivos del Navidad es tan simple como
borrar cualquier
otro archivo. Eliminarlo del registry, si no se tiene
experiencia con
el programa REGEDIT.EXE, solo requiere usar el archivo
NAVIDAD.REG disponible
en el servidor FTP de ITASA en
ftp.itasa.com.mx/ftp/f-prot/utilerias/navidad.reg
(disponible por correo
electrónico
también).
Lo malo es que
tan pronto se instala, el Navidad vigila cada mensaje que el
usuario recibe
para contestarlo enviando el anexo NAVIDAD.EXE.
Lo bueno es que el Navidad solo funciona con Outlook.
__________
Fuente: Ingeniería y Tecnología Avanzada, SA de CV. Datos
recabados por el
Departamento de Soporte de ITASA con base en investigación documental.
--------------------------------------------------------------------
Regresar a página de CSAV