病毒名称(中文):
病毒别名:
I-Worm.Cervivec[AVP],W32.Cervivec.A@mm[NAV],WORM
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
233739
影响系统:
Win9xWinNT
病毒行为:
这是一个通过电子邮件传播的蠕虫病毒,用Delphi语言编写,并在运行时对自身进行了压缩。病毒会向ICQ中的联系人发送带毒的电子邮件,屏幕显示很多乱涂乱画的彩色线条。
1.病毒复制自身为%System%\Ntkrnl.exe。
2.病毒搜索ICQ联系人中的邮件地址,并向这些邮件地址发送带毒的电子邮件。邮件格式如下:
主题:任意
正文:可能是以下其中之一:
No.1:
Vtip
Cervici
Cauposilamticervikytaksenatopodivej
No.2:
Vtip
Cervici
Cauposielamticervikytaksanatopozri
No.3:
Witz
Hallo,IchhabeeinguterWitz-Wurmsosieh!
No.4:
blague
J"aiunebonneblaguecas"appelleverredeterrealorsjetteuncoupd"oeil
No.5:
Joke
Hi,Ihavesomecooljoke
No.6:
Zart
Czesc,mamswietnzdowcip-robaka.Obejrzyjgosobie
No.7:
Chiste
Holatemandolosgusanilloes.Puesmirarlos
附件:Ntkrnl.exe(或者为:<随机文件名>.zip)
3.病毒运行后就会弹出一个字符串为“Pressrestartbuttontoclosethisapplication”的对话框,上面有一个“OK”按钮。假如点击了"OK"按钮,计算机屏幕上就会出现很多彩色的细条纹。
4.病毒会在注册表的主键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
中添加如下键值:
"KernelLoader"="%System%\ntkrnl.exe-LOADDRIVER=TRUE"
以便该病毒在每次重启Windows时运行。
不过在系统重启后,虽然病毒被再次激活,但病毒不会再显示那个信息框,也不会出现那些彩条,而是搜索系统是否安装了ICQ,假如是,病毒就会搜索ICQ中联系人的邮件地址,并向这些邮件地址发送带毒的电子邮件。