W32.Cervan.6256 – polimorf vírus a futtatható állományok ellen

A vírus paraméterei

Felfedezésének ideje: 2002. december 1.
Védekezés elkészültének ideje: 2002. december 3.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 6.256 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű

Aktiválódása esetén lezajló események

– a vírus úgynevezett entry-point obscuring működésű, ami azt jelenti, hogy nem attól kerül indításra, hogy egy fertőzött file-t futtat a felhasználó, hanem az import tábla megfertőzésével akkor aktiválódik, ha az importált funkció meghívásra kerül (a LoadLibrary és a GetProcAddress érintettek az esetben)
– számos funkció címét manuálisan importálja 5 elkülönített DLL állományban
– körülbelül 6 KB-nyi memóriát lefoglal (ez a memóriaszervezés miatt 8 KB lesz), majd ide bemásolja törzsét, s a továbbiakban innen működik
– többszálas működésű, így létrehoz egy második szálat (az elrontott kód miatt ez a második szál gyakran nem működőképes), majd futtatja
– további (API) importálásokat végez
– ha a második szál mégis működőképes, akkor a futó és más állományokat megnyitott állapotban tartó programok révén a megnyitott file-okat megfertőzi (például a Notepad által megnyitott PE file-okat meg tudja fertőzni, de a Telnet esetében nem képes ugyanerre)