Se han reportado muchos casos de infeccion del virus Navidad, del que se hablo en el boletin anterior.

A pesar de que el virus no esta diseñado para causar daño, se a descubierto que puede causar daño accidentalmente al corromper el registro de windows y causar intestabilidad en el sistema.

Cuando el virus infecta a una maquina, contesta automaticamente los correos, con el mismo titulo del correo que entro, e incluye una copia del virus, que viene en un archivo anexo llamado NAVIDAD.EXE.

Por esto el virus parece que llega como una contestación a un correo, esta estrategia parece que le esta fucionando bien.

Si lo llega a activar, recuerde, el virus no fue diseñado para causar daño, localice el archivo del gusano (virus) y borrelo, los letreros que despliega el virus no tienen ninguna importancia. Reinicie la maquina, si tiene problemas para activar los programas entonces lea la seccion de reparacion.

 
 tipo     : gusano
infeccion: Outlook/ windows 98, windows NT
riesgo   : Moderado
carga    : no incluye carga destructiva,
           causa daño por error de programacion
   

El virus llega en un archivo adjunto llamado Navidad.exe, al ser activado por el usuario, despliega una ventana de error conel mensaje

 
  UI
 error
   

El virus despues modifica el registro de windows, para que reconocer si una maquina ya esta infectada y para hacer que el virus se ejecute automaticamente al reiniciar la maquina.

Sin embargo el virus contiene varios errores de programacion, por lo que puede dañar el registro.

Afortunadamente el programador tambien cometio un error, por lo que el virus se ejecuta correctamente al prender la maquina.

El Virus crea el registro:

 
 Win32BaseServiceMOD=\Winnt\System32\Winsvrc.exe
   

Pero el nombre correcto del virus es:

 
 WINSVRC.VXD
   

En windowsNT, debido a una serie de errores, el sistema intenta ejecutar el virus, pero por el error del nombre, no lo localiza, por lo que pide al usuario que trate de localizar el programa (virus ) para activarlo.

Esto provoca que no se puedan activar programas en maquinas con windowsNT, y cuesta trabajo reinciar la maquina.

Despues de esto, el virus inica la rutina de infección.

Busca los correos que esten el folder de entrada de Outlook, y los contesta con el mismo nombre del mensaje pero les añade el archivo Navidad.exe.

A diferencia de Melissa, no hace envios masivos de correo,por lo que no se reproducira tan rapido, pero dado que llega como si fuera correspondencia de un conocido, puede ser ser confudido facilmente con un mensaje comun.

Finalmente el virus coloca elicono de un ojo, en la barra de tareas. Al colocar el raton encima del icono muesta el mensaje:

 
 "Lo estamos mirando..."
   

Si activa el icono reponde con el mensaje:

 
 Nunca presionar este boton
   

si oprime el boton de el mensaje aparece un nuevo letrero:

 
 Feliz Navidad
Lamentablemente cayo en la tentacion y perdio su
computadora
   

A pesar de este mensaje amenazante, el virus no hace nada (nointencionalmente). El dajno ya lohizo al tratar de infectar la maquina y alterar el registro

Por la forma en que modifico elregistro, el virus no deja ejecutar archivos terminados en .exe, asi que lo primero que necesitames es reparar elregistro, pero dado que el programa regedit termina en .exe, no podremos ejecutarlo.

Asi que si se llega a infectar debe hacer lo siguiente:

Desde windows 95/98

Debe entrar a MS-DOS

Sin nunca ha modificado el registro de su computadora, es mejor que busque a alguien que tenga experiencia.

Teclee las siguientes ordenes.

 
  REGEDIT.EXE REGEDIT.COM.  (enter)
 REGEDIT. (enter)
   

la primera orden le cambia la extension al programa de archivo de registro, y la segunda lo ejecuta.

Ahora, busque el registro:

 
 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
   

Y cambie

 
 "C:\WINDOWS\SYSTEM\winsvrc.vxd "%1" %*
   

por

 
 "%1" %*
   

Importante: debe decir exactaemten :comillas,, porciento, comillas, espacio, porciento, asterisco.

Despues busque y borre el registro

 
  HKEY_USERS\.DEFAULT\Software\Navidad
  
 Con esto evita que el virus arranque al iniciar la maquina.
 (es posible que esta segunda clave no exista.)
   

Ahora, reinicie la maquina.

Desde windows localice y borre el archivo:

\WINDOWS\SYSTEM\winsvrc.vxd file.

Symanec tiene un programa que puede hacer estos pasos automaticamente, lo puede localizar en:

http://www.symantec.com/avcenter/venc/data/w32.navidad.fix.html

Lo mejor es prevenir, nunca ejecute ni habra un archivo que le llegue por correo si no conoce antes su contenido.

Practique computacion segura.