Win32/Cervivec.A

Win32/Cervivec.A je velice jednoduch² worm napsan² v Delphi a zabalen² programem UPX. Je s nejv∞tÜφ pravd∞podobnostφ ΦeskΘho p∙vodu. Uklßdß se pod jmΘnem ntkrnl.exe do systΘmovΘho adresß°e Windows a do registry p°idß nov² klφΦ tak, ₧e je aktivovßn p°i ka₧dΘm startu systΘmu (HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)

po spuÜt∞nφ na monitoru zobrazuje zvlßÜtnφ efekty: r∙znobarevnΘ Φßry "lezou" po obrazovce a₧ ji celou zaplnφ.

Worm se posφlß ve form∞ souboru ZIP, tak₧e program nem∙₧e b²t spuÜt∞n p°φmo. Pou₧φvß vÜak psychologickΘ metody, aby p°inutil u₧ivatele soubor rozbalit a spustit. NaÜt∞stφ neobsahuje ₧ßdnou destrukΦnφ Φinnost.

Worm posφlß sebe sama na vÜechny kontakty ICQ, kterΘ na infikovanΘm poΦφtaΦi najde. Infikovanß zprßva m∙₧e b²t v r∙zn²ch jazycφch:
Φesky:       Cervici
             Cau posilam ti cerviky tak se na to podivej (virus to neni)
slovensky:   Cervici
             Cau posielam ti cerviky tak sa na to pozri (virus to neni)
n∞mecky:     Witz
             Hallo, Ich habe ein guter Witz-Wurm so sieh! (kein virus)
francouzsky: blague
             J'ai une bonne blague ca s'appelle verre de terre alors
             jette un coup d'oeil (il n'y a pas de virus)
anglicky:    Joke
             Hi, I have some cool joke - worms so have a look at it (no virus)
polsky:      Zart
             I Czesc, mam swietnz dowcip - robaka. Obejrzyj go sobie (to nie jest wirus)
Üpan∞lsky:   Chiste
             Hola te mando los gusanilloes. Pues mirarlos (no es un virus)

Zdroj: Alwil software - v²robce antiviru AVAST


Odstran∞nφ:

  • staΦφ pouze smazat soubor ntkrnl.exe v systΘmovΘm adresß°i Windows.
  • ZruΦn∞jÜφ mohou odstranit i polo₧ku Kernel Loader v klφΦi HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run registru, ale nenφ to nutnΘ.

    • Jedno·Φelov² antivirus:

    Jedno·Φelov² antivirus nebyl bohu₧el nalezen, zkuste se obrßtit na e-mail igi@viry.cz.

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.