Name:Worm/Kelvir.ER
Entdeckt am:06/12/2005
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:147.456 Bytes
MD5 Prüfsumme:7abf8e8858675d81b139caa658a42bae
VDF Version:6.32.01.11

 Allgemein Verbreitungsmethode:
   • Messenger


Aliases:
   •  Kaspersky: IM-Worm.Win32.Kelvir.bm
   •  TrendMicro: WORM_KELVIR.DH
   •  VirusBuster: trojan Trojan.DR.Agent.SI


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %Verzeichnis in dem die Malware ausgeführt wurde%\rem.bat

– c:\win.com Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/IRCBot.68708

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Windows Live Messenger
– Windows Messenger


An:
Alle online Einträge aus der Kontaktliste.


Nachricht
Die verschickte Nachricht sieht wie folgt aus:

   • hey http://**********/upfile/hiltons_secret.zip paris hilton :D:D:D~{ESC}

Die URL verweißt auf eine Kopie der beschriebenen Malware. Läd der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.

 Diverses String:
Des Weiteren enthält es folgende Zeichenkette:
   • Yo KAV you SUCK! this isn't KELVIR! this is just a BETTER variant of it ;) Greetz sirh0t

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Daniel Constantin am Dienstag, 13. Dezember 2005
Die Beschreibung wurde geändert von Daniel Constantin am Dienstag, 27. Dezember 2005

zurück . . . .