Nume:Worm/Kelvir.ER
Descoperit pe data de:06/12/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:147.456 Bytes
MD5:7abf8e8858675d81b139caa658a42bae
Versiune VDF:6.32.01.11

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Kaspersky: IM-Worm.Win32.Kelvir.bm
   •  TrendMicro: WORM_KELVIR.DH
   •  VirusBuster: trojan Trojan.DR.Agent.SI


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza un fisier malware

 Fisiere Sterge copia initiala a virusului.



Sunt create fisierele:

– Un fisier temporar care poate fi sters dupa aceea:
   • %directorul de activare malware%\rem.bat

– c:\win.com Fisierul este executat dupa ce a fost creat. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: Worm/IRCBot.68708

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Live Messenger
– Windows Messenger


Catre:
Toate contactele online din lista de contacte.


Mesaj
Mesajul transmis este:

   • hey http://**********/upfile/hiltons_secret.zip paris hilton :D:D:D~{ESC}

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 Alte informatii Sir de caractere:
In plus, mai contine urmatorul sir de caractere:
   • Yo KAV you SUCK! this isn't KELVIR! this is just a BETTER variant of it ;) Greetz sirh0t

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.

Description insérée par Daniel Constantin le mardi 13 décembre 2005
Description mise à jour par Daniel Constantin le mardi 27 décembre 2005

Retour . . . .