Email-Worm.Win32.Cervivec

技術的な詳細

Cervivecは、電子メールの添付ファイルとしてインターネット経由で広がるインターネットワームウイルスです。

ワーム自体は、約230KbのサイズのWindows PE EXEファイルで、Delphiで書かれています。それはUPXによって圧縮されます – 圧縮解除されたサイズは約670Kbです。

感染したメッセージには、さまざまな言語のさまざまな亜種からランダムに選択された件名/本文のコンテンツがあります。

Vtip
カウボーイズ・タクシー・ヌー・ポディヴェ（ウィルス・トゥ・ネニ）

Vtip
カウポピー（ウイルスからネニ）

ウィッツ
ハロー、Ich habe ein guter Witz-Wurm so sieh！ （キンウイルス）

怒り
クーデター（ウイルスに感染していないこと）

���？
？��？��、�？���？���？R？�？�？ ？�R?? �？�？�？ （��R-ε・����）

冗談で
こんにちは、私はいくつかのクールなジョーク – ワームを持っているので、それを見て（ウイルスなし）

ザート
Czesc、mam swietnz dowcip – robaka。 Obejrzyj go sobie（冗談wirus）

Chiste
ホラー・テ・マンドロ・ガザニエル。 Ples mirarlos（ウイルスなし）

ワームは、添付ファイルをクリックした場合にのみ感染した電子メールから起動します。その後、ワームは自身をシステムにインストールし、展開とエフェクトのルーチン（デスクトップを食べる「ワーム」）を実行します。

自身をインストールする際、ワームはWindowsディレクトリと "ntkrnl.exe"という名前のSYSTEM32サブディレクトリに自分自身をコピーします。次に、そのファイルをシステムレジストリの自動実行キーに登録します。

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
カーネルローダー=％WindowsDir％system32ntkrnl.exe -LOADDRIVERS = TRUE