Name:Worm/Kelvir.EV
Entdeckt am:24/02/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:41.256 Bytes
MD5 Prüfsumme:ada388b4cbba8ae3bba0423f184fb724
VDF Version:6.33.01.27

 Allgemein Verbreitungsmethode:
   • Messenger


Aliases:
   •  Kaspersky: IM-Worm.Win32.Kelvir.ew
   •  TrendMicro: WORM_KELVIR.DO


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter

 Dateien Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://b0tfilez.tripod.com/**********
Diese wird lokal gespeichert unter: C:\setup.exe

– Die URL ist folgende:
   • http://adserv.pwp.blueyonder.co.uk/eng-us/**********
Diese wird lokal gespeichert unter: %SYSDIR%\%zufällige Buchstabenkombination%.exe Des Weiteren wird diese Datei ausgeführt nachdem sie vollständig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Messenger Es verbreitet sich über Messenger. Die Charakteristiken sind folgende:

– Windows Messenger


An:
Alle online Einträge aus der Kontaktliste.


Nachricht
Die verschickte Nachricht sieht wie eine der folgenden aus:

   • wow.. http://www.nbmd.cn/**********

   • is that you? http://www.nbmd.cn/**********

   • omg wahaha!!! http://www.nbmd.cn/**********

   • check this out: http://www.nbmd.cn/**********

   • is this working? http://www.nbmd.cn/**********

Die URL verweißt auf eine Kopie der beschriebenen Malware. Läd der Benutzer die Datei auf seinen Computer und startet diese, so wiederholt sich der Infektionsprozess.

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Gherman am Montag, 27. Februar 2006
Die Beschreibung wurde geändert von Andrei Gherman am Montag, 27. Februar 2006

zurück . . . .