Nume:Worm/Kelvir.EV
Descoperit pe data de:24/02/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:41.256 Bytes
MD5:ada388b4cbba8ae3bba0423f184fb724
Versiune VDF:6.33.01.27

 General Metoda de raspandire:
   • Messenger


Alias:
   •  Kaspersky: IM-Worm.Win32.Kelvir.ew
   •  TrendMicro: WORM_KELVIR.DO


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere

 Fisiere Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://b0tfilez.tripod.com/**********
Fisierul este stocat pe hard disc la: C:\setup.exe

– Adresa este urmatoarea:
   • http://adserv.pwp.blueyonder.co.uk/eng-us/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\%combinatie de caractere aleatoare%.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware.

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

– Windows Messenger


Catre:
Toate contactele online din lista de contacte.


Mesaj
Mesajul transmis arata ca unul din urmatoarele:

   • wow.. http://www.nbmd.cn/**********

   • is that you? http://www.nbmd.cn/**********

   • omg wahaha!!! http://www.nbmd.cn/**********

   • check this out: http://www.nbmd.cn/**********

   • is this working? http://www.nbmd.cn/**********

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: Visual Basic.


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Andrei Gherman le lundi 27 février 2006
Description mise à jour par Andrei Gherman le lundi 27 février 2006

Retour . . . .