Nom:Worm/Kelvir.ER
La date de la découverte:06/12/2005
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:147.456 Octets
Somme de contrôle MD5:7abf8e8858675d81b139caa658a42bae
Version VDF:6.32.01.11

 Général Méthode de propagation:
   • Programme de messagerie


Les alias:
   •  Kaspersky: IM-Worm.Win32.Kelvir.bm
   •  TrendMicro: WORM_KELVIR.DH
   •  VirusBuster: trojan Trojan.DR.Agent.SI


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant

 Fichiers Il supprime sa propre copie, exécutée initialement



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %le dossier d'exécution du malware%\rem.bat

– c:\win.com Ensuite, il est exécuté après avoir été completment crée. Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: Worm/IRCBot.68708

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Windows Live Messenger
– Windows Messenger


A:
Tous les contacts en ligne de la liste de contacts.


Message
Le message envoyé ressemble à celui-ci:

   • hey http://**********/upfile/hiltons_secret.zip paris hilton :D:D:D~{ESC}

Le URL se rapporte alors à une copie du malware décrit. Si l'utilisateur télécharge et exécute ce fichier le procédé d'infection commencera encore.

 Informations divers Chaîne de caractères:
Ensuite il contient la chaîne de caractères suivante:
   • Yo KAV you SUCK! this isn't KELVIR! this is just a BETTER variant of it ;) Greetz sirh0t

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.

Description insérée par Daniel Constantin le mardi 13 décembre 2005
Description mise à jour par Daniel Constantin le mardi 27 décembre 2005

Retour . . . .