TROJ_EMMANUEL(alias
TROJ_NAVIDAD.E, TROJ_NAVIDAD.B, EMMANUEL, )
Nowa odmiana wirusa NAVIDAD, podobnie jak poprzednik
rozsyłana jest poprzez pocztę email. Różni się ikoną, komunikatami oraz
plikiem, który jest dołączany do przesyłek. Nie zawiera też błędów występujących
w poprzedniej wersji, które powodowały wyświetlenie komunikatu Windows !
Po uruchomieniu wyświetlana jest informacja o błędzie:
;)
Gdy użytkownik wciśnie "OK" obok wskazań zegara pojawia się
ikonka - tym razem w postaci kwiatuszka. Po wskazaniu ikony wyświetlany jest
komunikat:
Nunca presionar este boton
Czyli: Nigdy nie wciskaj tego guzika (tak jak
poprzednio)
Jeśli mimo ostrzeżenia zostanie wciśnięty przycisk, na ekranie można
zobaczyć okienko z tytułem "Emmanuel…" i następujący
tekst:
Emmanuel-God is with
us!May god bless u.And Ash, Lk and LJ!!
Po zamknięciu okienka wyświetlany jest tekst:
May God bless u;D
Trojan modyfikuje rejestry:
HKEY_CURRENT_USER\SOFTWARE\Emanuel
HKEY_USERS\.DEFAULT\SOFTWARE\Emanuel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run Win32BaseServiceMOD = %systemdir%\WINTASK.EXE”
dzięki czemu uruchamia się po ponownym starcie systemu
Następnie wirus umieszcza się w pliku WINTASK.EXE oraz modyfikuje
rejestry, przez co jest uruchamiany każdorazowo przy wywołaniu dowolnego
programu . EXE.
HKEY_CLASSES_ROOT\exefile\shell\open\
command (Default) = "%systemdir %\WINTASK.EXE "%1"%*"
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\
shell\open\command (Default) = "%systemdir %\WINTASK.EXE
"%1"%*"
Zmiany te powodują zablokowanie wykonywania wyłącznie plików EXE, co
powoduje, że Windows sygnalizuje błąd.
Przykład poczty zawierającej plik trojana
Temat:
RE:
Treść: <Nic>
Załącznik: EMANUEL.EXE
Jak usunąć ?
Uwaga: przed skanowaniem wyczyścić
rejestry przy pomocy programu: fix_navid2.zip,
który również usuwa utworzony przez wirus plik WINSVRC.VXD.
Uruchomić ponownie komputer, skanować przy pomocy programów Trend
Micro i usunąć wszystkie pliki zidentyfikowane jako TROJ_NAVIDAD.E.
Używać najnowszych wzorców wirusów.
