Clique aqui para voltar à página inicial  http://www.novomilenio.inf.br/ano00/0011d001.htm
Última modificação em (mês/dia/ano/horário): 11/21/00 03:34:00
Verme Navidad coloca um olho no seu micro 

Repare, na barra de tarefas, ao lado do relógio, no canto inferior direito da tela: se ali estiver visível o desenho de um olho azul, seu equipamento está contaminado com o verme Navidad, um tipo de vírus de computador que está se espalhando rapidamente pela América Latina, ao ponto de ser reclassificado de baixo para médio risco pela equipe do laboratório Avert de análises de vírus, mantido pela produtora de antivírus NAI/McAfee.

Diversas empresas já estão colocando na Internet detalhes sobre esse verme e produtos para eliminá-lo, como a NAI/McAfee, a Symantec e ainda a Mynetis, que permite a obtenção de um programa gratuito para eliminar o Navidad. Também a Trend Micro colocou uma página em inglês com detalhes sobre o Navidad e um arquivo que permite combatê-lo.

Página Web da McAfee sobre o vírus, em 20/11/2000
Infecção - Segundo a explicação disponível em inglês nas páginas da empresa, este verme se espalha usando a interface MAPI (que permite que diversas aplicações de troca de mensagens e de grupo de trabalho, como correio de voz e texto, fax etc., operem através de um só cliente, como o Exchange) no Outlook. O verme chega ao destinatário como se fosse resposta a uma mensagem que este destinatário tinha enviado ao computador infectado. Nessa falsa resposta, o assunto da mensagem inclui o texto do campo Assunto (subject, nos programas em inglês) original, e no corpo do texto há o arquivo vinculado Navidad.exe.

Quando é ativado no computador, o verme apresenta uma caixa de diálogo intitulada "Error" na qual se lê "UI" (talvez indicando User Interface, interface de usuário). Um ícone de olho azul aparece na barra de tarefas do sistema (geralmente colocada no rodapé da tela), junto ao relógio do canto direito, e uma cópia do intruso (trojan) é salva no arquivo winsvrc.vxd no diretório Windows System. São criados os seguintes valores de chave de registro:

HKEY_CURRENT_USER\SOFTWARE\Navidad 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Win32BaseServiceMOD=C:\WINDOWS\SYSTEM\winsvrc.exe 

HKEY_CLASSES_ROOT\exefile\shell\open\command\
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %* 

HKEY_LOCAL MACHINE\Software\CLASSES\exefile\shell\open\command\
(default)=C:\WINDOWS\SYSTEM\winsvrc.exe "%1" %* 

Nas duas últimas entradas acima, os valores anteriores eram "%1" %* 

Como esses valores de registro usam uma extensão incorreta como nome de arquivo, uma mensagem de erro é mostrada quando ocorre a tentativa de iniciar um arquivo executável (.EXE). Assim, por exemplo, quem tentar nessa hora rodar o editor do Registro do Windows (Regedit.exe) vai receber uma mensagem de erro.

McAfee explica os textos que aparecem ao se colocar o mouse sobre o olho e nas caixas de diálogo
DICA - Os técnicos do laboratório NAI descobriram uma forma de enganar o verme: pode-se abrir uma janela de prompt MS-DOS: nela, deve-se ir até o diretório Windows e renomear [Regedit.exe] como [Regedit.com]. Então, o usuário poderá rodar o programa Regedit a partir do menu Iniciar, localizando os caminhos do registro para remover as entradas mencionadas acima. 

Atenção: mesmo que você consiga identificar os arquivos relacionados ao verme (detectados por algum programa anti-vírus que necessite de eliminação manual do verme), tais arquivos não devem ser apagados antes da correção do registro do Windows. Terminada essa correção, não se esqueça de reverter o nome do arquivo do Editor de Registros para [Regedit.exe]. Reinicie então o computador e só então apague os arquivos que tiverem sido identificados como relacionados ao verme. Se o sistema emitir aviso de que algum desses arquivos não pode ser apagado por estar em uso, é sinal de que o vírus está ativo e o processo de eliminação não foi executado corretamente.

Este verme pode ser "desligado": quando Navidad está rodando, clique no olho azul visível na barra de tarefas. Quando a caixa de diálogo com um grande botão marcado como "don't press me" (sic), clique sobre o pequeno botão marcado com um X no canto superior direito dessa caixa de diálogo, para fechar essa caixa. Outra caixa de mensagem aparece, então clique no botão OK dessa mensagem e o verme encerra a atividade, com o desaparecimento do olho azul ao lado do relógio do sistema. O texto do laboratório Avert não indica se o vírus é completamente eliminado, ou apenas tem sua execução encerrada mas continua no sistema.