VírusWorm/Kelvir.ER
Data em que surgiu:06/12/2005
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:147.456 Bytes
MD5 checksum:7abf8e8858675d81b139caa658a42bae
Versão VDF:6.32.01.11

 Vulgarmente Meio de transmissão:
   • Messenger


Alias:
   •  Kaspersky: IM-Worm.Win32.Kelvir.bm
   •  TrendMicro: WORM_KELVIR.DH
   •  VirusBuster: trojan Trojan.DR.Agent.SI


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso

 Ficheiros Apaga a cópia executada inicialmente.



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %directório de execução do malware%\rem.bat

– c:\win.com Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/IRCBot.68708

 Messenger Propaga-se através do Messenger. Tem as seguintes características:

– Windows Live Messenger
– Windows Messenger


Para:
Todos os contatos online da lista de contactos.


Mensagem
A mensagem enviada parece-se com a seguinte:

   • hey http://**********/upfile/hiltons_secret.zip paris hilton :D:D:D~{ESC}

O URL aponta para uma cópia do malware descrito. Se o utilizador descarregar e executar este ficheiro terá início o processo de infecção do seu computador.

 Informações diversas Texto:
Além disso tem o seguinte texto:
   • Yo KAV you SUCK! this isn't KELVIR! this is just a BETTER variant of it ;) Greetz sirh0t

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.

Descrição enviada por Daniel Constantin em terça-feira, 13 de dezembro de 2005
Descrição atualizada por Daniel Constantin em terça-feira, 27 de dezembro de 2005

Voltar . . . .