Email-Worm.Win32.Cervivec

Jest to robak rozprzestrzeniaj膮cy si臋 poprzez internet jako za艂膮cznik wiadomo艣ci e-mail. Wirus ma posta膰 pliku PE EXE o rozmiarze oko艂o 230 KB i zosta艂 stworzony przy u偶yciu 艣rodowiska programistycznego Delphi.

Teramty i tre艣ci zainfekowanych wiadomo艣ci wybierane s膮 losowo spo艣r贸d nast臋puj膮cych mo偶liwo艣ci:

  • Vtip
    Cau posilam ti cerviky tak se na to podivej (virus to neni)
  • Vtip
    Cau posielam ti cerviky tak sa na to pozri (virus to neni)
  • Witz
    Hallo, Ich habe ein guter Witz-Wurm so sieh! (kein virus) 
  • blague
    J'ai une bonne blague ca s'appelle verre de terre alors jette un coup d'oeil
    (il n'y a pas de virus)
  • Joke
    Hi, I have some cool joke - worms so have a look at it (no virus) 
  • Zart
    Czesc, mam swietny dowcip - robaka. Obejrzyj go sobie (to nie jest wirus)
  • Chiste
    Hola te mando los gusanilloes. Pues mirarlos (no es un virus)

Robak aktywuje si臋 z zainfekowanej wiadomo艣ci tylko wtedy, gdy u偶ytkownik uruchomi zainfekowany za艂膮cznik. Je偶eli to nast膮pi wirus instaluje si臋 w systemie, rozpoczyna rozprzestrzenianie si臋 i uruchamia procedur臋 dodatkow膮 (kolorowe "robaki" zjadaj膮ce pulpit komputera).

cervivec.gif

Podczas instalacji robak kopiuje si臋 z nazw膮 ntkrnl.exe do podkatalogu SYSTEM32 znajduj膮cego si臋 w folderze Windows i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Kernel Loader = %Folder Windows%system32 tkrnl.exe
-LOADDRIVERS=TRUE