|
Cervivec, de propagación masiva. Se auto-envía a la lista de
contactos del ICQ
|
|
©
Jorge Machado Lima-Perú
|
|
W32/Cervivec@mm
Cervivec es
un gusano reportado el 23 de Marzo del 2002, aparentemente desarrollado en Checoslovaquia, de amplia difusión
masiva ya
que se auto-envía a la lista de contactos del canal de mensajería ICQ
(I
Seek You)
de los sistemas que tengan instalado este novedoso sistema de
comunicaciones.
Está programado en
Borland Delphi, con una extensión de 228k y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Se propaga a
través de mensajes de correo con un archivo anexado de nombre
Ntkrnl.exe,
haciendo uso de su propio protocolo
SMTP (Simple
Mail Transfer Protocol).
El gusano se auto-copia a las carpetas C:\Windows\Systems
o C:\Winnt\System32
Para asegurarse de ser ejecutado, la próxima
vez que se inicie Windows, el gusano agrega la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Kernel Loader="C:\WINDOWS\system32\ntkrnl.exe
-LOADDRIVERS=TRUE"
El texto del mensaje es uno de
los siguientes, elegidos aleatoriamente en diversos idiomas.
Mensaje No. 1:
Vtip
Cervici
Cau posilam ti cerviky tak se na to podivej (virus to neni)
Mensaje No. 2:
Vtip
Cervici
Cau posielam ti cerviky tak sa na to pozri (virus to neni)
Mensaje No. 3:
Witz
Hallo, Ich habe ein guter Witz-Wurm so sieh! (kein virus)
Mensaje No. 4:
blague
J'ai une bonne blague ca s'appelle verre de terre alors jette un coup d'oeil
(il n'y a pas de virus)
Mensaje No. 5:
Joke
Hi, I have some cool joke - worms so have a look at it (no virus)
Mensaje No. 6:
Zart
Czesc, mam swietnz dowcip - robaka. Obejrzyj go sobie (to nie jest wirus)
Mensaje No. 7:
Chiste
Hola te mando los gusanilloes. Pues mirarlos (no es un virus)
Al ejecutar el archivo
anexado se muestra un caja de diálogo:
Si el usuario hace click en el botón OK,
el gusano mostrará en pantalla pequeños gusanos de diferentes colores en
toda la pantalla del escritorio (Desktop) de Windows:
Cervivec no
tiene un payload destructivo y su
propósito es saturar las estaciones de trabajo o PC domésticas que
usen el servicio de mensajería instantánea ICQ.
PER ANTIVIRUS®
versión 7.4 con registro de virus al 23 de Marzo del 2002 detecta y elimina
eficientemente este gusano.
