Nume:Worm/Kelvir.DV
Descoperit pe data de:14/10/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:110.592 Bytes
MD5:b08429322069d71be7e32f26cf419f6e
Versiune VDF:6.31.01.222

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.i
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.CLS
   •  Bitdefender: Backdoor.RBot.91D40E0C


Sistem de operare:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware

 Fisiere Sunt create fisierele:

– %WINDIR%\winoi.exe Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/Rbot.81920.9

%directorul de activare malware%\msn.txt

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Live Messenger
– Windows Messenger


Catre:
Toate contactele online din lista de contacte.


Mesaj
Mesajul transmis arata ca unul din urmatoarele:

   • hey
     its you!
     %link%


%link%
In timp ce wildcard-ul este:
   • http://www.ymcg.**********/gallery/pictures.php?email=%adresa destinatarului%

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.

Description insérée par Iulia Diaconescu le vendredi 14 octobre 2005
Description mise à jour par Iulia Diaconescu le jeudi 20 octobre 2005

Retour . . . .