© Frank Ziemann  –  Update: 02.09.2009

Extra-Blatt

Wurm: W32/Navidad.e@M (I-Worm.Navidad.b)

Wurm mit kleinen Fehlern verhindert Start aller EXE-Dateien
ursprüngliche Version: Navidad.A als Navidad.exe

Navidad.B ist ein Wurm, der sich per E-Mail verbreitet. Er kommt als Dateianhang mit dem Dateinamen "Emanuel.exe" (Größe: 17 KB). Wird diese Datei ausgeführt, erscheint eine Meldung mit dem Titel "Fehler" und dem Text ";)" und im System-Tray (rechts unten in der Task-Leiste) erscheinen ein oder mehrere Icons, die aus Blumen bestehen.

Klick man auf die Icons, erscheint eine Dialog-Box mit dem Text "Nunca presionar este boton" ("Drücke niemals diesen Knopf"). Klick man auf diesen Knopf, erscheint eine weitere Meldung:

Sie trägt den Titel "Emmanuel...." und den Text "Emmanuel-God is with us!May god bless u.And Ash, Lk and LJ!!". Schließt man die Dialog-Box mit dem [X] statt auf den Knopf zu drücken, meldet das Programm "" ("May GOd bless u").

Dieses Spielchen hat jedoch keinerlei Auswirkung, es dient nur zur Ablenkung.

Eine Kopie der Navidad.exe wird im Windows\System-Verzeichnis als "wintask.exe" abgelegt und in die Registry eingetragen, damit sie bei jedem Windows-Start geladen wird:

HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
  Win32BaseServiceMOD = "C:\WINDOWS\SYSTEM\Wintask.exe"
HKEY_CLASSES_ROOT\exefile\shell\open\command\
  (Standard) = "C:\WINDOWS\SYSTEM\Wintask.exe "%1" %"

Alle Mails, die Sie von nun an erhalten, sollten von W32/Navidad beantwortet werden. Die Antwort-Mails enthalten wiederum die Datei Emanuel.exe. Betroffen sind Anwender von MS Outlook und Outlook Express sowie anderer MAPI-konformer Mail-Clients (was die Weiterverbreitung von infizierten Rechnern aus angeht).
Diese Version von Navidad behebt einen Fehler, der die ursprüngliche Version betrifft.

Der zweite Eintrag hat allerdings noch weitaus gravierendere Folgen:
Die Ausführung aller EXE-Dateien wird nach dem nächsten Windows-Neustart verhindert! Stattdessen werden weitere Instanzen des Wurm-Programms gestartet, was sich in mehreren gleichen Symbolen im System-Tray äussert (s.o).

W32/Navidad entfernen
Starten Sie den Rechner auf keinen Fall neu, wenn Sie die Emanuel.exe ausgeführt haben!
Um W32/Navidad wieder zu entfernen, löschen Sie die Dateien "Emanuel.exe" und "Wintask.exe" und entfernen Sie den ersten der obigen Registry-Einträge und korrigieren Sie den zweiten. Dieser muss lauten:

HKEY_CLASSES_ROOT\exefile\shell\open\command\
  (Standard) = "%1" %*
Der Eintrag besteht also aus genau sieben (7) Zeichen.

Dazu müssen Sie allerdings die Datei regedit.exe vorübergehend in regedit.com umbennen, da Dateien mit der Endung ".exe" ja nun nicht mehr ausgeführt werden können.

Haben Sie den Rechner bereits neu gestartet oder heruntergefahren, starten Sie ihn mit reinem DOS und importieren Sie diese REG-Datei (die Sie natürlich auch verwenden können, wenn Sie noch nicht neu gestartet haben, s.o.):

C:\>regedit naviddis.reg

Starten Sie nun Windows und löschen Sie die Dateien "emanuel.exe" und "wintask.exe".

Alternativ können Sie auch ein Programm von Symantec verwenden, das W32/Navidad entfernt.

Scannen Sie den Rechner zum Abschluss mit einem Antivirus-Programm, das W32/Navidad erkennt. Für die meisten Antivirus-Programme dürften bereits Updates verfügbar sein. [Antivirus-Programme]

Infos und Updates von Antivirus-Firmen zu W32/Navidad:

• AVP (engl.)
• Computer Associates (engl.)
• F-Secure (engl.)
• Panda Software (engl.)
• Network Associates (engl.)
• Sophos (engl.)
• Symantec (engl.)