Win32.Cervicec.A@mm

Nume: Win32.Cervicec.A@mm
Alias: N/A
Tip: Mass Mailer executabil
Marime: 228872 bytes (~ 706 KB decomprimat)
Descoperit: 22 Martie 2002
Detectat: 22 Martie 2002, 18:00 (GMT+2)
Raspandire: Redusa
Risc: Redus
ITW: Necunoscut

Descriere tehnica:
Acest virus se raspandeste prin e-mail si se trimite contactelor utilizatorului din lista de contacte ICQ (ICQ este un foarte cunoscut instant messenger). Virusul a fost scris in Borland Delphi si executabilul a fost comprimat folosind un pachet executabil UPX.

Virusul vine ca un atasament („worms.zip”) la un mesaj de e-mail, iar campurile de Subject/Body sunt selectate din urmatoarele variante:

• Subject: Chiste
  Body: Hola te mando los gusanilloes. Pues mirarlos (no es un virus)
• Subject: Zart
  Body: Czesc, mam swietnz dowcip – robaka. Obejrzyj go sobie (to nie jest wirus)
• Subject: Joke
  Body: Hi, I have some cool joke – worms so have a look at it (no virus)
• Subject: Vtip or: Cervici
  Body: Cau posielam ti cerviky tak sa na to pozri (virus to neni)

Cand ruleaza, fisierul executabil atasat se copiaza in directorul Windows System32 (ca „ntkrnl.exe” si ca „worms.exe”) si creaza, de asemenea, o arhiva ZIP („worms.zip”) in acelasi director continand copia lasata „worms.exe” a virusului.

Executabilul „ntkrnl.exe” va fi prevazut sa ruleze la fiecare pornire a Windows-ului prin crearea valorii descrise mai sus in cheia din registrii HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run. La pornirea Windows-ului, virusul va fi rulat cu argumentul liniei de comanda „-LOADDRIVERS=TRUE”, care determina executia „fara zgomot” (fara casuta de dialog sau payload).

Fisierul „worms.exe” este utilizat pentru a genera arhiva „worms.zip” care va fi atasata mesajului de e-mail creat de virus. Aceste mesaje vor fi trimise adreselor de e-mail ale contactelor utilizatorului care sunt gasite prin scanarea bazei de date ICQ (fiserele .dat si .idx din directorul de instalare ICQ si subdirectoarele – „2001b”, „2001a”, „2000b”, „2000a”). Aceste adrese, impreuna cu mesajele de e-mail asociate vor fi pastrate intr-un fiser temporar numit „ntoskrnl.dat”.

Payload-ul nu este distructiv – doar o animatie draguta de linii colorate care se tarasc pe desktop-ul Windows (pentru a scapa de acestea, trebuie doar sa restartati Windows-ul):

Dezinfectie manuala:

• Indepartati (folosind REGEDIT) intrarea descrisa mai sus (in sectiunea „Simptome” ) in cheia din registrii HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run;
• Stergeti copiile body-ului virusului (fisierele „ntkrnl.exe”, „worms.exe” si „worms.zip” din directorul Windows System32); s-ar putea sa fiti nevoiti sa restartati Windows-ul dupa indepartarea intrarii din registrii si inainte sa incercati sa stergeti aceste fisiere.

Dezinfectie automata: Lasati BitDefender sa stearga/sa dezinfecteze fisierele gasite infectate.

Analizat de:
Bogdan Dragu
BitDefender Virus Researcher