主题:  病毒(Navidad)警报!!用Outlook的兄弟们小心了

sunbird_5d
职务:普通成员
等级:1
金币:0.0
发贴:9
注册:2000/9/18 16:08:16
#12000/11/15 0:14:08
呵呵,前几天在台湾和香港地区传播速度比较快的Navidad病毒,可能已经传入中国了(反正我们公司的人因台湾同事寄了病毒信而传染上了...)。
该病毒通过电子邮件传播,当执行了附件中的 NAVIDAD.EXE 文件后,病毒就开始发作。首先给你Outlook地址本上的所有联系人都发一封带有病毒的信件。呵呵,这还也好,我中毒,你也好不了。但是最可恨的是他居然去改那个该死的注册表,将Exe文件的打开方式都指向一个叫做什么winsirc.exe什么的文件,结果造成所有的exe文件都不可以打开。。。。。。接着就是等于电脑瘫痪。。。 在文件夹选项中不可以修改可执行文件的属性。。。 而且regedit也不可以用了。。。
反正你是要小心了!!

不过听说Norton可以杀了,如果你还没有升级的话,建议快点升级,不然到时候连升级包都又可能用不了了~
还有就是备份注册表吧~哈哈。。。


Yahoo--->
病毒/Navidad

Navidad於11月8日在美國發現,11月10日曾被CNN報導過,在國外被列為「中度」警訊。由於 Navidad是西班牙文耶誕節的意思,所以推論病毒應從南美洲流傳出來。

Navidad專門攻擊 Outlook郵件程式,當使用者開啟檔案後,病毒會將自己寄給使用者通訊錄裡所有的名單,並會修改Registry。使用者收件匣若預設MAPI,病毒還會尋找收件匣中的寄件者名單,自動回覆帶有病毒的email,造成連鎖性的感染。

Navidad的中毒症狀是當是當執行中毒檔案時,會出現標題為「Error」的對話框,框內的文字為「UI」,如果中毒用戶按下OK,會在螢幕右下方出現一個眼睛圖示,游標指向眼睛圖示時,會出現「Lo estamos miran do」,意思是「We are watching you」,接著若點選眼睛圖示,又會出現以下對話框「Nunca presionor este boton」,意思是「Never press this button」,如果點選了,就會有一個錯誤訊息出現,意思是「Merry Christmas,Unfortunately you have given in to temptation and lose your computer」,意思就是,你的事情大條了。


我就那么一说 你就那么一听

5D荣誉斑竹
职务:普通成员
等级:2
金币:10.0
发贴:262
注册:2000/10/17 15:37:26
#22000/11/15 11:14:39
thanks sunbird


吃了吧!

城市孤星
职务:普通成员
等级:4
金币:10.0
发贴:1785
注册:2000/10/20 20:20:01
#32000/11/15 13:20:10
嘿嘿没想到你的动作比我快吗!哈哈本想早上来灌这新闻的可就是进不了这论坛!真衰。

不过还是要多谢多谢啦!电视上说的名字好象是mavidat.exe呢!



星星星子
职务:普通成员
等级:1
金币:0.0
发贴:13
注册:2000/11/6 12:37:16
#42000/11/15 17:59:31
太有用了这就升级



城市孤星
职务:普通成员
等级:4
金币:10.0
发贴:1785
注册:2000/10/20 20:20:01
#52000/11/17 20:00:57
摘自www.kill.com.cn站

Win32/Navidad 蠕虫
病毒特征:

  Win32/Navidad 蠕虫是一个e-mail 蠕虫病毒,尽管含有一个Bug,它还是能顺利地传播。 蠕虫在e-mail 邮件中到达你的系统,邮件的主题是可变的。蠕虫回复给邮件,所以,邮件的主题通常是和以前已发送的一个相匹配。邮件的主体是空的,只附着在一个文件,文件名是"Navidad.exe"。

  当"Navidad.exe"被运行,蠕虫立刻显示一个标题为"Error"的对话框,正文"UI"和"OK"按钮。 当您点击"OK"按钮,蠕虫病毒立即开始发送含有病毒代码程序的邮件。病毒通过检查MAPI 邮件客户端收件箱内所有邮件,给每个邮件一个回复。这个回复邮件带有与原邮件一样的主题内容("Re:",不是病毒添加的),病毒程序作为邮件附件代替了原邮件内容。这些邮件采用缺省的MAPI 邮件客户端发送,所以,它们在被发送前可能会出现在Outlook 或Outlook Express的发件箱内,是否会出现要看用户的设置了。

  Navidad 蠕虫会在Windows的任务条的系统盘(屏幕右下角)中显示一个图标(一个蓝眼睛的形状)。如果你的鼠标指向该图标,会显示出提示信息:"Lo estamos mirando..."(意为:我们正注视着它…) 如果你点击这个图标,将出现一个含有一个按钮的窗口,按钮上的文字是:"Nunca presionar este boton"(意思是:决不要按这个按钮)。

  如果你再按这个按钮,就出现另一个窗口,标题是:"Feliz Navidad"(意思是:圣诞快乐)。这个窗口包含一段话和一个"OK"按钮。 "Lamentablemente cayo en la tentacion y perdio su computadora" (意思是:他/她很不幸没有抵住诱惑,他/她的计算机受损了)

  蠕虫病毒还试图将自身安装在操作系统中,在这有个bug。蠕虫在Windows系统目录(Windows\System)生成一个自身的副本文件,叫"Winsvrc.vxd"。然后,它产生三个注册关键字(如下)却指向一个不同的文件名"Winsvrc.exe":

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run\Win32BaseServiceMOD = "C:\WINDOWS\SYSTEM\Winsvrc.exe" HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default) = "C:\WINDOWS\SYSTEM\Winsvrc.exe "%1" %" HKEY_LOCAL_MACHINE\Software\CLASSES\ exefile\shell\open\command\(Default) =
"C:\WINDOWS\SYSTEM\Winsvrc.exe "%1" %"

  一旦"Winsvrc.exe"文件不存在,第一个改变的注册键值将不起作用。然而,第二个键值将有效,它将停止所有将要执行的EXE文件。用户要尝试执行一个程序,将显示一个消息通知用户Windows系统没有找到winsvrc.exe文件,且所选择的程序不能运行。

清除步骤:

  KILL17.53版本以可以检测Navidad 蠕虫病毒,要清除一个染毒系统,KILL检测出的所有感染Win32/Navidad.Worm 病毒的文件都必须删除。

  必须删除蠕虫病毒生成的注册关键字,方法是:
1. 如果你已经不能在Windows下运行Regedit,你需要进入MS-DOS命令行方式,进入Windows目录,然后将regedit.exe复制(拷贝)成regedit.com文件;
2. 重启动系统,在Windows的"开始"菜单,"运行"regedit;
3. 在注册表编辑器中,"查找"(winsvrc.exe)蠕虫病毒产生的注册键值(如上所述),并删除所有注册关键字及键值;
4. 重启动计算机,使所有改变生效。 可以自动删除注册键值,下载一个INF文件到本地计算机,右键点击这个文件,并选择"安装"去运行它,这个文件将自动删除病毒生成的注册键值。