Nombre:Worm/Kelvir.DV
Descubierto:14/10/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:110.592 Bytes
Suma de control MD5:b08429322069d71be7e32f26cf419f6e
Versión del VDF:6.31.01.222

 General Método de propagación:
   • Messenger


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.i
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.CLS
   •  Bitdefender: Backdoor.RBot.91D40E0C


Plataformas / Sistemas operativos:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino

 Ficheros Crea los siguientes ficheros:

%WINDIR%\winoi.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Rbot.81920.9

%directorio donde se ejecuta el programa viral%\msn.txt

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– Windows Live Messenger
– Windows Messenger


A:
Todos los contactos online de la lista de contactos.


Mensaje
El mensaje enviado se ve como uno de los siguientes:

   • hey
     its you!
     %enlace%


%enlace%
Mientras el wildcard es:
   • http://www.ymcg.**********/gallery/pictures.php?email=%dirección de correo del destinatario%

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infección volverá a iniciarse.

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Iulia Diaconescu el viernes 14 de octubre de 2005
Descripción actualizada por Iulia Diaconescu el jueves 20 de octubre de 2005

Volver . . . .