Nome del virus:Worm/Kelvir.DV
Scoperto:14/10/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:110.592 Byte
Somma di controllo MD5:b08429322069d71be7e32f26cf419f6e
Versione VDF:6.31.01.222

 Generale Metodo di propagazione:
   • Messenger


Alias:
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.i
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.CLS
   •  Bitdefender: Backdoor.RBot.91D40E0C


Piattaforme / Sistemi operativi:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”

 File Vengono creati i seguenti file:

%WINDIR%\winoi.exe Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/Rbot.81920.9

%directory di esecuzione del malware%\msn.txt

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Live Messenger
– Windows Messenger


A:
Tutti i contatti online nella lista dei contatti.


Messaggio
Il messaggio inviato sarà tipo uno dei seguenti:

   • hey
     its you!
     %link%


%link%
Mentre la wildcard è la seguente:
   • http://www.ymcg.**********/gallery/pictures.php?email=%indirizzo email del ricevente%

L'URL si riferisce così a una copia del malware descritto. Se l'utente scarica ed esegue questo file, il processo virale ricomincia di nuovo.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Iulia Diaconescu su venerdì 14 ottobre 2005
Descrizione aggiornata da Iulia Diaconescu su giovedì 20 ottobre 2005

Indietro . . . .