Имя:Worm/Kelvir.DV
Обнаружен:14/10/2005
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:110.592 байт.
Контрольная сумма MD5:b08429322069d71be7e32f26cf419f6e
Версия VDF:6.31.01.222

 Общее Метод распространения:
   • Messenger


Псевдонимы (аliases):
   •  Symantec: W32.Spybot.Worm
   •  Mcafee: W32/Sdbot.worm.gen.i
   •  Kaspersky: Backdoor.Win32.Rbot.gen
   •  TrendMicro: WORM_RBOT.CLS
   •  Bitdefender: Backdoor.RBot.91D40E0C


Операционные системы:
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает потенциально опасный файл

 Файлы Создаются следующие файлы:

%WINDIR%\winoi.exe После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: Worm/Rbot.81920.9

%Рабочая папка вредоносной программы%\msn.txt

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Windows Live Messenger
– Windows Messenger


Кому:
Все онлайн строки из списка контактов.


Сообщение
Отправленное сообщение может иметь один из следующих видов:

   • hey
     its you!
     %ссылка%


%ссылка%
Пока груповой символ соответствует следующему:
   • http://www.ymcg.**********/gallery/pictures.php?email=%Электронный адрес получателя%

URL ссылается на копию описанного вредоносного ПО. Процесс инфицирования повторяется каждый раз при запуске загруженного файла на компьютере пользователя.

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Iulia Diaconescu в(о) пятница, 14 октября 2005 г.
Описание обновил Iulia Diaconescu в(о) четверг, 20 октября 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.