Name:Worm/Kelvir.DV
Entdeckt am:14/10/2005
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:110.592 Bytes
MD5 Prüfsumme:b08429322069d71be7e32f26cf419f6e
VDF Version:6.31.01.222

 Allgemein Verbreitungsmethode:
   • Messenger


Aliases:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.i
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.CLS
   •  Bitdefender: Backdoor.RBot.91D40E0C


Betriebsysteme:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei

 Dateien Es werden folgende Dateien erstellt:

%WINDIR%\winoi.exe Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Rbot.81920.9

%Verzeichnis in dem die Malware ausgeführt wurde%\msn.txt

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Windows Live Messenger
– Windows Messenger


An:
Alle online Einträge aus der Kontaktliste.


Nachricht
Die verschickte Nachricht sieht wie eine der folgenden aus:

   • hey
     its you!
     %link%


%link%
Während der Platzhalter folgendem entspricht:
   • http://www.ymcg.**********/gallery/pictures.php?email=%Emailadresse des Empfängers%

Die URL verweißt auf eine Kopie der beschriebenen Malware. Läd der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Iulia Diaconescu am Freitag, 14. Oktober 2005
Die Beschreibung wurde geändert von Iulia Diaconescu am Donnerstag, 20. Oktober 2005

zurück . . . .