Nombre:Worm/Kelvir.ER
Descubierto:06/12/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:147.456 Bytes
Suma de control MD5:7abf8e8858675d81b139caa658a42bae
Versión del VDF:6.32.01.11

 General Método de propagación:
   • Messenger


Alias:
   •  Kaspersky: IM-Worm.Win32.Kelvir.bm
   •  TrendMicro: WORM_KELVIR.DH
   •  VirusBuster: trojan Trojan.DR.Agent.SI


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino

 Ficheros Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %directorio donde se ejecuta el programa viral%\rem.bat

– c:\win.com Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/IRCBot.68708

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– Windows Live Messenger
– Windows Messenger


A:
Todos los contactos online de la lista de contactos.


Mensaje
El mensaje enviado tiene el siguiente aspecto:

   • hey http://**********/upfile/hiltons_secret.zip paris hilton :D:D:D~{ESC}

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infección volverá a iniciarse.

 Informaciones diversas Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • Yo KAV you SUCK! this isn't KELVIR! this is just a BETTER variant of it ;) Greetz sirh0t

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Daniel Constantin el martes 13 de diciembre de 2005
Descripción actualizada por Daniel Constantin el martes 27 de diciembre de 2005

Volver . . . .