Nome del virus:Worm/Kelvir.EV
Scoperto:24/02/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:41.256 Byte
Somma di controllo MD5:ada388b4cbba8ae3bba0423f184fb724
Versione VDF:6.33.01.27

 Generale Metodo di propagazione:
   • Messenger


Alias:
   •  Kaspersky: IM-Worm.Win32.Kelvir.ew
   •  TrendMicro: WORM_KELVIR.DO


Piattaforme / Sistemi operativi:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica file

 File Prova a scaricare dei file:

– La posizione è la seguente:
   • http://b0tfilez.tripod.com/**********
Viene salvato in locale sotto: C:\setup.exe

– La posizione è la seguente:
   • http://adserv.pwp.blueyonder.co.uk/eng-us/**********
Viene salvato in locale sotto: %SYSDIR%\%stringa di caratteri casuale%.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware.

 Messenger Si diffonde via Messenger. Le caratteristiche sono descritte sotto:

– Windows Messenger


A:
Tutti i contatti online nella lista dei contatti.


Messaggio
Il messaggio inviato sarà tipo uno dei seguenti:

   • wow.. http://www.nbmd.cn/**********

   • is that you? http://www.nbmd.cn/**********

   • omg wahaha!!! http://www.nbmd.cn/**********

   • check this out: http://www.nbmd.cn/**********

   • is this working? http://www.nbmd.cn/**********

L'URL si riferisce così a una copia del malware descritto. Se l'utente scarica ed esegue questo file, il processo virale ricomincia di nuovo.

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su lunedì 27 febbraio 2006
Descrizione aggiornata da Andrei Gherman su lunedì 27 febbraio 2006

Indietro . . . .