Po uruchomieniu załącznika poczty wirus wyświetla komunikat o błędzie. Jeśli Użytkownik komputera potwierdzi wciskając klawisz "OK", trojan umieszcza charakterystyczną ikonę z niebieskim oczkiem tuż obok zegara systemowego. 

Gdy użytkownik wskaże "oczko" wyświetlone zostanie następujące okienko:

W wolnym tłumaczeniu oznacza to: Nigdy nie wciskaj tego guziczka

Jeśli guzik zostanie wciśnięty, pojawia się kolejne okienko: :

Co znaczy: Wesołych świąt -- Niestety popadłeś w uniesienie i straciłeś twój komputer.

Jeśli użytkownik zamknie okienko wskazując "X" pojawi się napis:

buena eleccion…, czyli : Dobry Wybór

Po uruchomieniu wirus tworzy następujące rejestry:

HKEY_CURRENT_USER\SOFTWARE\Navidad
HKEY_LOCAL_MACHINE\Software\Microsoft\
windows\CurrentVersion\Run
Win32BaseServiceMOD = %systemdir%\WINSVRC.EXE"

gdzie %systemdir% dla Windows 95/98 to zazwyczaj  \WINDOWS\SYSTEM, a w Windows NT/2K to \WINNT\SYSTEM32.

Przepisuje także plik WINSVRC.VXD, który jest dokładną kopią wykonywanego programu. Poprzez zmodyfikowanie rejestrów przy każdorazowej próbie uruchomienia dowolnego programu EXE nieświadomy użytkownik uruchamia kod wirusa. Oto zmiany, jakie wprowadzone są do rejestrów umożliwiają takie zachowanie:

HKEY_CLASSES_ROOT\exefile\shell\open\command
(Default) = "%systemdir %\WINSVRC.EXE"%1""%*"
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\
shell\open\command
(Default) = “%systemdir %\WINSVRC.EXE"%1""%*"

Programy typu COM i inne wykonywalne pozostają nadal dostępne. W przypadku wywołania programu EXE wyświetlany jest następujący komunikat: 

Kolejną czynnością wykonywaną przez wirus jest sprawdzenie Windows Messaging Subsystem:

HKEY_CURRENT_USER\Software\Microsoft\
Windows Messaging Subsystem

Po pomyślnej instalacji trojan wysyła swój kod w załącznikach poczty email, kierowanej jako odpowiedź pod wszystkie adresy znalezione w skrzynce INBOX. Wykorzystuje domyślnie używany program pocztowy. Oto przykład takiej przesyłki::

Temat: RE:
Treść: <None>
Załącznik: NAVIDAD.EXE

Jak usunąć?

Uwaga: Skasować rejestry przed uruchomieniem programów Trend Micro.

1. Wykorzystać narzędzie: FIX NAVI, w celu automatycznego wyczyszczenia rejestrów systemu i skasowania pliku WINSVRC.VXD.
2. Zrestartować komputer.
3. Skanować przy pomocy programów Trend Micro i usunąć pliki zidentyfikowane jako TROJ_NAVIDAD.A.

Alternatywna droga postępowania:

1. Rozwinąć kolejno Start|Znajdź|Pliki i foldery.
2. Odszukać plik REGEDIT.EXE.
3. Zmienić nazwę REGEDIT.EXE na REGEDIT.COM. (z uwagi na to iż wirus mapuje do siebie wszystkie pliki .exe posunięcie to jest niezbędne aby uruchomić edytor rejestrów Regedit. Po uwolnieniu systemu od wirusa należy ponownie przywrócić właściwą nazwę plikowi Regedit.
4. Uruchomić REGEDIT.COM.
5. W lewym panelu rozwijając kolejno:
   HKEY_CLASSES_ROOT\exefile\shell\open\
   dotrzeć do rejestru command
6. W prawym panelu wskazać:
   (Domyślnie) =
   “%systemdir%\WINSVRC.EXE”%1””%*”
   i wykasować początkowe znaki łańcucha pozostawiając “%1”%*”.
7. Podobnie jak w pkt. 5 rozwijając kolejno:
   HKEY_LOCAL_MACHINE\Software\Microsoft\
   Windows\CurrentVersion\Run
8. Wykasować Win32BaseServiceMOD =
   %systemdir%\WINSVRC.EXE
9. Dojść do klucza rejestru:
   HKEY_CURRENT_USER\Software\Navidad
10. Wykasować.
11. Zresetować system.
12. Przeskanować przy pomocy programów Trend i wykasować wszystkie pliki zidentyfikowane jako TROJ_NAVIDAD.A.
13. Przywrócić pierwotną nazwę REGEDIT.EXE z  REGEDIT.COM.

Troj_NAVIDAD.E (alias NAVIDAD.B, EMMANUEL, TROJ_EMMANUEL)

Podobnie jak poprzednik rozsyłany jest poprzez pocztę email. Różni się ikoną, komunikatami oraz plikiem, który jest dołączany do przesyłek.
Po uruchomieniu wyświetlana jest informacja o błędzie:

;) 

Gdy użytkownik wciśnie "OK" obok wskazań zegara pojawia się ikonka - tym razem w postaci kwiatuszka. Po wskazaniu ikony wyświetlany jest komunikat: 

Nunca presionar este boton
Czyli: Nigdy nie wciskaj tego guzika (tak jak poprzednio)

Jeśli mimo ostrzeżenia zostanie wciśnięty przycisk, na ekranie można zobaczyć okienko z tytułem "Emmanuel…" i następujący tekst: 

Emmanuel-God is with us!May god bless u.And Ash, Lk and LJ!! 

Po zamknięciu okienka wyświetlany jest tekst: 

May God bless u;D 

Trojan modyfikuje rejestry: 

HKEY_CURRENT_USER\SOFTWARE\Emanuel 
HKEY_USERS\.DEFAULT\SOFTWARE\Emanuel 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run Win32BaseServiceMOD = %systemdir%\WINTASK.EXE” 

dzięki czemu uruchamia się po ponownym starcie systemu

Następnie wirus umieszcza się w pliku WINTASK.EXE oraz modyfikuje rejestry, przez co jest uruchamiany każdorazowo przy wywołaniu dowolnego programu . EXE. 

HKEY_CLASSES_ROOT\exefile\shell\open\
command (Default) = "%systemdir %\WINTASK.EXE "%1"%*" 
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\
shell\open\command (Default) = "%systemdir %\WINTASK.EXE "%1"%*" 

Zmiany te powodują zablokowanie wykonywania wyłącznie plików EXE, co powoduje, że Windows sygnalizuje błąd. 

Przykład poczty zawierającej plik trojana

Temat: RE:
Treść: <Nic>
Załącznik: EMANUEL.EXE 

Jak usunąć ?

Uwaga: przed skanowaniem wyczyścić rejestry przy pomocy programu: fix_navid2.zip, który również usuwa utworzony przez wirus plik WINSVRC.VXD. 
Uruchomić ponownie komputer, skanować przy pomocy programów Trend Micro i usunąć wszystkie pliki zidentyfikowane jako TROJ_NAVIDAD.E. Używać najnowszych wzorców wirusów.