病毒名称:
W32.Cervivec.A@mm
类别: 电子邮件蠕虫
病毒资料:
W32.Cervivec.A@mm是一个用Delphi语言编写的电子邮件蠕虫病毒。病毒体是被压缩过的。当病毒被激活后,就会搜索ICQ联系人中的邮件地址,并向这些邮件地址发送带毒的电子邮件。
W32.Cervivec.A@mm病毒体原始大小是大约是665KB,压缩后为228KB(带毒邮件的附件大小)。带毒电子邮件的格式如下:
标题:任意
内容可能是以下其中之一:
Vtip
Cervici
Cau posilam ti cerviky tak se na to podivej (virus to neni)
Vtip
Cervici
Cau posielam ti cerviky tak sa na to pozri (virus to neni)
Witz
Hallo, Ich habe ein guter Witz-Wurm so sieh! (kein virus)
blague
J‘ai une bonne blague ca s‘appelle verre de terre alors jette un coup d‘oeil (il n‘y a pas de virus)
Joke
Hi, I have some cool joke - worms so have a look at it (no virus)
Zart
Czesc, mam swietnz dowcip - robaka. Obejrzyj go sobie (to nie jest wirus)
Chiste
Hola te mando los gusanilloes. Pues mirarlos (no es un virus)
附件:Ntkrnl.exe(228KB)
当运行附件后就会显示信息框:
如果点击了"OK"按钮,计算机屏幕上就会显示很多像蠕虫一样的彩条,
接着,病毒就会在系统目录下生成Ntkrnl.exe(%System%Ntkrnl.exe),同时修改注册表的启动项:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Kernel Loader=%System%tkrnl.exe -LOADDRIVER=TRUE
注:%SYSTEM%指的是Windows的系统目录,Win9x/Me下是WindowsSystem,Win2000/NT下是WinNTSystem32。
这样,当系统启动的时候病毒就会被自动激活。
不过在系统重启后,虽然病毒被再次激活,但病毒不会再显示那个信息框,也不会出现那些彩条,而是搜索系统是否安装了ICQ,如果是,则病毒就会搜索ICQ中联系人的邮件地址,并向这些邮件地址发送带毒的电子邮件。
预防方法:
1、升级反病毒软件;
2、不要随意打开带毒的电子邮件,更不要运行邮件的附件,尽快将邮件删除。
紧急清除方法:
1、重新启动进入安全模式,将%System%Ntkrnl.exe删除;
2、运行注册表编辑器regedit,将注册表中的病毒启动项Kernel Loader删除。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
别名:CERVIVEC.A, I-Worm.Cervivec, W32/Cervivec@MM, WORM_CERVIVEC.A
发现日期:
2002-3-22