Name:Worm/Kelvir.DT.1
Entdeckt am:12/08/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:123.904 Bytes
MD5 Prüfsumme:45815b95ab4e1648e48db9b215e4b655
VDF Version:6.31.1.78

 Allgemein Verbreitungsmethode:
   • Messenger


Aliases:
   •  Mcafee: W32.Kelvir
   •  Kaspersky: IM-Worm.Win32.Kelvir.dt
   •  TrendMicro: WORM_KELVIR.CH
   •  VirusBuster: Worm.Kelvir.AN


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt schädliche Dateien herunter
   • Änderung an der Registry

 Registry Folgende Registryschlüssel werden hinzugefügt:

– [HKCR\.key]
   • @="regfile"

– [HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache]
   • "%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%.exe"="%ausgeführte Datei%"

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Windows Live Messenger


An:
Alle online Einträge aus der Kontaktliste.


Verbreitung via URL
Es wird folgender Link geschickt:
   • www.**********/img005837.com

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • ASProtect 1.2x

Die Beschreibung wurde erstellt von Catalin Jora am Montag, 15. August 2005
Die Beschreibung wurde geändert von Catalin Jora am Mittwoch, 7. September 2005

zurück . . . .