最近几日，一个以西班牙文圣诞节(Navidad)为名的病毒在国内外大肆蔓延，造成了极大的危害，该病毒是一个e-mail蠕虫病毒，尽管含有一个Bug，它还是能顺利地传播。蠕虫在e-mail邮件中到达你的系统，邮件的主题是可变的。蠕虫回复给邮件，所以，邮件的主题通常是和以前已发送的一个相匹配。

　　邮件的主体是空的，只附着在一个文件，文件名是"Navidad.exe"。当"Navidad.exe"被运行，蠕虫立刻显示一个标题为"Error"的对话框，正文"UI"和"OK"按钮。当您点击"OK"按钮，蠕虫病毒立即开始发送含有病毒代码程序的邮件。病毒通过检查MAPI邮件客户端收件箱内所有邮件，给每个邮件一个回复。这个回复邮件带有与原邮件一样的主题内容("Re:"，不是病毒添加的)，病毒程序作为邮件附件代替了原邮件内容。这些邮件采用缺省的MAPI邮件客户端发送，所以，它们在被发送前可能会出现在Outlook或Outlook Express的发件箱内，是否会出现要看用户的设置了。Navidad蠕虫会在Windows的任务条的系统盘(屏幕右下角)中显示一个图标(一个蓝眼睛的形状)。如果你的鼠标指向该图标，会显示出提示信息："Lo estamos mirando..."(意为：我们正注视着它…)如果你点击这个图标，将出现一个含有一个按钮的窗口，按钮上的文字是："Nunca presionar este boton"(意思是：决不要按这个按钮)。如果你再按这个按钮，就出现另一个窗口，标题是："Feliz Navidad"(意思是：圣诞快乐)。这个窗口包含一段话和一个"OK"按钮。"Lamentablemente cayo en la tentacion y perdio su computadora"(意思是：他/她很不幸没有抵住诱惑，他/她的计算机受损了)蠕虫病毒还试图将自身安装在操作系统中，在这有个bug。蠕虫在Windows系统目录(Windows\System)生成一个自身的副本文件，叫"Winsvrc.vxd"。然后，它产生三个注册关键字(如下)却指向一个不同的文件名"Winsvrc.exe"：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

　　\Run\Win32BaseServiceMOD = "C:\WINDOWS\SYSTEM\Winsvrc.exe"HKEY_CLASSES_ROOT\exefile\shell\open\command\(Default)

　　= "C:\WINDOWS\SYSTEM\Winsvrc.exe "%1" %"HKEY_LOCAL_MACHINE\Software\CLASSES\ exefile\shell\open\command\(Default) = "C:\WINDOWS\SYSTEM\Winsvrc.exe "%1" %"一旦"Winsvrc.exe"文件不存在，第一个改变的注册键值将不起作用。然而，第二个键值将有效，它将停止所有将要执行的EXE文件。用户要尝试执行一个程序，将显示一个消息通知用户Windows系统没有找到winsvrc.exe文件，且所选择的程序不能运行。冠群金辰有关技术专家提醒广大用户，该病毒集邮件病毒、蠕虫病毒和黑客程序于一体，破坏性十分严重，建议用户选择使用经过国际多家权威机构认证具备完善实时反病毒、查杀多种压缩文件功能的反病毒软件。

　　KILL系列防病毒产品的用户应及时到www.kill.com.cn下载最新病毒特征库以保护自己的计算机；或到KILL授权服务中心拷贝最新升级文件。KILL17.53版本以可以检测Navidad蠕虫病毒，要清除一个染毒系统，KILL检测出的所有感染Win32/Navidad.Worm病毒的文件都必须删除。必须删除蠕虫病毒生成的注册关键字，方法是：1.如果你已经不2.能在Windows下运行Regedit，3.你需要进入MS-DOS命令行方式，4.进入Windows目录，5.然后将regedit.exe复6.制(拷贝)成regedit.com文件；7.重启动系统，8.在Windows的“开始”菜单，9.“运行”regedit；10.在注册表编辑器中，11.“查找”(winsvrc.exe)蠕虫病毒产生的注册键值(如上所述)，12.并删除所有注册关键字及键值；13.重启动计算机，14.使所有改变生效。可以自动删除注册键值，下载一个INF文件到本地计算机，右键点击这个文件，并选择“安装”去运行它，这个文件将自动删除病毒生成的注册键值。