[金帥科技報導]                              2000/11/14

  2000.11.14   PM 1200

網路木馬病毒 NAVIDAD大流行
請勿執行不明之附帶執行檔

透過Internet與e-Mail大肆流行的NAVIDAD病毒,NAVIDAD病毒藉由會發信引起國內外大量電腦中毒,由於用戶大多執行郵件附帶的執行檔才中毒,金帥資訊在此呼籲:切勿開啟不明之郵件附帶的執行檔。

檔案型態:PE執行檔
感染方式:
1.NAVIDAD病毒主要是透過e-Mail進行散播。
2.當執行NAVIDAD病毒檔案時(如圖一),會修改Windows 2000/98/95/NT下的REGISTRY。

(圖一)
3.會依據中毒電腦中的mail address進行散播e-Mail。
信件內容:
 收件人:以Outlook發信之收件人
 信件主旨:已有的主旨
 附帶檔案:NAVIDAD.EXE
4.當NAVIDAD病毒被執行時,會修改電腦中的Windows註冊檔,並在工作列上會進行常駐,顯示一ICON(如圖二)。如果要將其關閉,則會出現警告訊息(如圖三)。


(圖二)

其意是說不要壓按鈕,若壓右上角的X則出現下圖。

其意是"聖誕快樂","好的選擇"。

NAVIDAD在西班牙文代表的是"聖誕節"。
(圖三)

病毒行為:
NAVIDAD病毒內定:Windows 95與Windows 98的作業系統是安裝在C:\WINDOWS;而Windows NT與Windows 2000是安裝在C:\WINNT下。

它修改的REGISTRY如下:
Windows 95與Windows 98:
1.HKEY_USERS\.DEFAULT\Software\Navidad
2.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run =
Win32BaseServiceMOD=\Windows\System\Winsvrc.exe
3. HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\exefile\shell\open\command =
\Windows\System\winsvrc.exe "%1" %*"

Windows NT與Windows 2000:
1.HKEY_CURRENT_USER\Software\Navidad
2.HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run =
Win32BaseServiceMOD=\Winnt\System32\Winsvrc.exe
3.HKEY_CLASSES_ROOT\exefile\shell\open\command =
\Winnt\System32\winsvrc.exe "%1" %*"

但由於病毒設定有誤,使得系統執行後造成不穩或當機。並且會破壞SYSTEM.INI。

如何判斷是否已受感染:
1.檢查上述REGISTRY。
2.是否執行病毒的附帶檔。

解毒方案:

電腦用戶請過濾來歷不明附帶檔的信件,尤其是執行檔,不要隨意開啟。
空中預警機用戶可以上網下載最新病毒碼。其他電腦用戶可下載空中預警機來協助您偵測這隻病毒。
金帥ZLOCK用戶可以上網更新,ZLOCK成功偵解這隻病毒。

UPDATE2K.EXE 是 ZLOCK 2000 更新檔!
UPGRADE6.EXE 是 ZLOCK 98 更新檔!
若是中毒的機器更新時先將執行檔 Rename 成 *.SCR 才能執行! 因為 *.EXE 無法執行!