Nombre:Worm/Kelvir.EV
Descubierto:24/02/2006
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:41.256 Bytes
Suma de control MD5:ada388b4cbba8ae3bba0423f184fb724
Versión del VDF:6.33.01.27

 General Método de propagación:
   • Messenger


Alias:
   •  Kaspersky: IM-Worm.Win32.Kelvir.ew
   •  TrendMicro: WORM_KELVIR.DO


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros

 Ficheros Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://b0tfilez.tripod.com/**********
El fichero está guardado en el disco duro en: C:\setup.exe

– La dirección es la siguiente:
   • http://adserv.pwp.blueyonder.co.uk/eng-us/**********
El fichero está guardado en el disco duro en: %SYSDIR%\%serie de caracteres aleatorios%.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral.

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– Windows Messenger


A:
Todos los contactos online de la lista de contactos.


Mensaje
El mensaje enviado se ve como uno de los siguientes:

   • wow.. http://www.nbmd.cn/**********

   • is that you? http://www.nbmd.cn/**********

   • omg wahaha!!! http://www.nbmd.cn/**********

   • check this out: http://www.nbmd.cn/**********

   • is this working? http://www.nbmd.cn/**********

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infección volverá a iniciarse.

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el lunes 27 de febrero de 2006
Descripción actualizada por Andrei Gherman el lunes 27 de febrero de 2006

Volver . . . .