23 marca 2002

I-Worm.Cervivec - "zjada" pulpit

Jest to robak rozprzestrzeniający się poprzez Internet jako załącznik wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 230 KB i został utworzony przy użyciu środowiska programistycznego Delphi.

Tematy i treści zainfekowanych wiadomości wybierane są losowo spośród następujących możliwości:

Vtip
Cau posilam ti cerviky tak se na to podivej (virus to neni)

Vtip
Cau posielam ti cerviky tak sa na to pozri (virus to neni)

Witz
Hallo, Ich habe ein guter Witz-Wurm so sieh! (kein virus)

blague
J'ai une bonne blague ca s'appelle verre de terre alors jette un coup d'oeil (il n'y a pas de virus)

?čăâŞ
Źŕ¨˘Ąâ, " Ą­ď Ąáâě Żŕ¨ŞŽ"ě­ ď čâăçŞ ˘ŕŽ¤Ą çĄŕ˘ďŞ (í⎠­Ą ˘¨ŕăá)

Joke
Hi, I have some cool joke - worms so have a look at it (no virus)

Zart
Czesc, mam swietny dowcip - robaka. Obejrzyj go sobie (to nie jest wirus)

Chiste
Hola te mando los gusanilloes. Pues mirarlos (no es un virus)

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik. Jeżeli to nastąpi wirus instaluje się w systemie, rozpoczyna rozprzestrzenianie się i uruchamia procedurę dodatkową (kolorowe "robak" zjadające pulpit komputera).

Podczas instalacji robak kopiuje się z nazwą "ntkrnl.exe" do podkatalogu \SYSTEM32 znajdującego się w folderze Windows i tworzy dla tej kopii klucz auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kernel Loader = %WindowsDir%\system32\ntkrnl.exe
-LOADDRIVERS=TRUE