Win32/Navidad 蠕虫“圣诞节”

冠群金辰

病毒特征：

　　Win32/Navidad 蠕虫是一个e-mail 蠕虫病毒，尽管含有一个Bug，它还是能顺利地传播。 蠕虫在e-mail 邮件中到达你的系统，邮件的主题是可变的。蠕虫回复给邮件，所以，邮件的主题通常是和以前已发送的一个相匹配。邮件的主体是空的，只附着在一个文件，文件名是"Navidad.exe"。

　　当"Navidad.exe"被运行，蠕虫立刻显示一个标题为"Error"的对话框，正文"UI"和"OK"按钮。 当您点击"OK"按钮，蠕虫病毒立即开始发送含有病毒代码程序的邮件。病毒通过检查MAPI 邮件客户端收件箱内所有邮件，给每个邮件一个回复。这个回复邮件带有与原邮件一样的主题内容（"Re:"，不是病毒添加的），病毒程序作为邮件附件代替了原邮件内容。这些邮件采用缺省的MAPI 邮件客户端发送，所以，它们在被发送前可能会出现在Outlook 或Outlook Express的发件箱内，是否会出现要看用户的设置了。

　　Navidad 蠕虫会在Windows的任务条的系统盘（屏幕右下角）中显示一个图标（一个蓝眼睛的形状）。如果你的鼠标指向该图标，会显示出提示信息："Lo estamos mirando..."（意为：我们正注视着它…） 如果你点击这个图标，将出现一个含有一个按钮的窗口，按钮上的文字是："Nunca presionar este boton"（意思是：决不要按这个按钮）。

　　如果你再按这个按钮，就出现另一个窗口，标题是："Feliz Navidad"（意思是：圣诞快乐）。这个窗口包含一段话和一个"OK"按钮。 "Lamentablemente cayo en la tentacion y perdio su computadora" （意思是：他/她很不幸没有抵住诱惑，他/她的计算机受损了）

　　蠕虫病毒还试图将自身安装在操作系统中，在这有个bug。蠕虫在Windows系统目录（Windows\System）生成一个自身的副本文件，叫"Winsvrc.vxd"。然后，它产生三个注册关键字（如下）却指向一个不同的文件名"Winsvrc.exe"：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run\Win32BaseServiceMOD = "C:\WINDOWS\SYSTEM\Winsvrc.exe" HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default) = "C:\WINDOWS\SYSTEM\Winsvrc.exe "%1" %" HKEY_LOCAL_MACHINE\Software\CLASSES\ exefile\shell\open\command\(Default) =
"C:\WINDOWS\SYSTEM\Winsvrc.exe "%1" %"

　　一旦"Winsvrc.exe"文件不存在，第一个改变的注册键值将不起作用。然而，第二个键值将有效，它将停止所有将要执行的EXE文件。用户要尝试执行一个程序，将显示一个消息通知用户Windows系统没有找到winsvrc.exe文件，且所选择的程序不能运行。