Nome del virus:Worm/Kelvir.ER
Scoperto:06/12/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:147.456 Byte
Somma di controllo MD5:7abf8e8858675d81b139caa658a42bae
Versione VDF:6.32.01.11

 Generale Metodo di propagazione:
   • Messenger


Alias:
   •  Kaspersky: IM-Worm.Win32.Kelvir.bm
   •  TrendMicro: WORM_KELVIR.DH
   •  VirusBuster: trojan Trojan.DR.Agent.SI


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file “maligno”

 File Cancella la copia di se stesso eseguita inizialmente.



Vengono creati i seguenti file:

– Un file ad uso temporaneo che può essere cancellato in seguito:
   • %directory di esecuzione del malware%\rem.bat

– c:\win.com Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: Worm/IRCBot.68708

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Live Messenger
– Windows Messenger


A:
Tutti i contatti online nella lista dei contatti.


Messaggio
Il messaggio inviato è tipo il seguente:

   • hey http://**********/upfile/hiltons_secret.zip paris hilton :D:D:D~{ESC}

L'URL si riferisce così a una copia del malware descritto. Se l'utente scarica ed esegue questo file, il processo virale ricomincia di nuovo.

 Varie Stringa:
In più contiene la seguente stringa:
   • Yo KAV you SUCK! this isn't KELVIR! this is just a BETTER variant of it ;) Greetz sirh0t

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Daniel Constantin su martedì 13 dicembre 2005
Descrizione aggiornata da Daniel Constantin su martedì 27 dicembre 2005

Indietro . . . .