NAVIDAD.B o EMANUEL

© Jorge Machado  Lima-Perú

A fines del 2000 se propagó vía Internet el gusano Navidad. A partir de la segunda semana del 2001 se ha empezado a reportar una nueva variante de este virus, denominada Navidad.B o Emanuel.

Al igual que su predecesor, se distribuye a través de mensajes de correo electrónico haciendo uso de la interfaz MAPI que controla a MS Outlook y MS Exchange. En esta oportunidad el archivo anexado se denomina EMANUEL.EXE y altera el registro de Windows 32, impidiendo que se ejecuten los archivos con extensión EXE. Sus efectos o Payload presentan una serie de ventanas gráficas secuenciales. 

Si el usuario receptor, comete el error de ejecutar el archivo anexado, el gusano presenta en primera instancia, una ventana de error:

Mensaje de Error del gusano Navidad.B

El gusano también genera un icono en la barra de tareas de Windows:


Si se hace un clic con el mouse, en cualquiera de estos gráficos aparece otra pequeña ventanita:

Y al presionar sobre ella aparece un mensaje de advertencia:

Si el usuario del equipo infectado, cierra esta ventana de mensaje, el gusano muestra un gráfico que dice: "que Dios bendiga u;D"

Si se hace clic en Aceptar se cerrarán las ventanas de los dos mensajes anteriores y desaparecerá el icono de la barra de tareas. En caso contrario si el usuario pulsa el botón que contiene el texto "Nunca presionar este botón", el gusano mostrará este mensaje:



Emanuel-Dios está con nosotros! Que dios te bendiga y Ash, Lk y LJ!!

El gusano grabará una copia de si mismo en el directorio de sistema de Windows bajo el nombre WINTASK.EXE y creará las siguientes llaves en el registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Win32]
BaseServiceMOD=C:\WINDOWS\SYSTEM\wintask.exe

y también modificará la siguiente llave del registro:

[HKEY_CLASSES_ROOT\exefile\shell\open\command\
(Por defecto)=C:\WINDOWS\SYSTEM\wintask.exe "%1" %*

En esta última entrada su acción consiste en modificar su valor original "%1" %* generando la dirección hacia el ejecutable.

También se crean las llaves:

[HKEY_CURRENT_USER\SOFTWARE\Emanuel] 

[HKEY_USERS\.DEFAULT\SOFTWARE\Emanuel] 

Una vez que estas llaves han sido modificadas, ya no será posible ejecutar ningún archivo con extensión EXE.

PER ANTIVIRUS® versión 6.7 detecta y elimina eficientemente este gusano, sin embargo ponemos a disposición de todos los usuarios y en forma gratuita, el archivo PERNAVRE.ZIP que puede ser descargado de nuestros sitios web, el mismo que repara el registro de Windows y elimina al gusano Navidad.B

Ir al menú anterior

Regresar al Portal de PER SYSTEMS