Cervivec.A procede al parecer de Checoslovaquia y se trata de un programa de difusión masiva a través de Internet escrito en Delphi. Se presenta comprimido en UPX (Ultimate Packer for eXecutables) ocupando 228.872 bytes y alcanza altos niveles de difusión ya que se propaga enviando un e-mail infectado a todos los contactos del canal ICQ, sistema de mensajería muy popular entre los internautas aficionados a chatear.

La rutina de Cervivec.A, maliciosa pero no destructiva, consiste en colorear la pantalla de los equipos que infecta con líneas en movimiento simulando la reptación de los gusanos reales biológicos.

Llega en un adjunto de nombre Ntkrnl.exe y el gusano, virtual en este caso, se autocopia en las carpetas C:\Windows\System\ ó C:\Winnt\System32\. Agrega una entrada en el registro para asegurar su ejecución automática cada vez que se reinicia el sistema, y cuando se activa, comprueba si está instalado ICQ para reenviarse a toda su lista de contactos haciendo uso de su propio protocolo SMTP.

El texto del mensaje infectado en el que llega Cervivec.A, es seleccionado aleatoriamente de un amplio listado de textos en diversos idiomas: inglés, francés, alemán, y también castellano:

Asunto: Chiste
Texto: Hola te mando los gusanilloes. Pues mirarlos (no es un virus)
Adjunto: Ntkrnl.exe (228KB)

Si hacemos clic en el ejecutable y después en el "OK" de la caja de diálogo que se abre, el gusano Cervivec.A invadirá la pantalla del escritorio de Windows de pequeños “gusanos” de colores. Su payload parece ser saturar PC´s con el servicio de mensajería instantánea ICQ.

Así que cuando en castellano nos dicen que el mensaje que nos envían no es un virus, ¡desconfiad!. La desconfianza parece ser la única solución que puede protegernos en los últimos tiempos contra las infecciones en la Red.