Имя:Worm/Kelvir.EV
Обнаружен:24/02/2006
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:41.256 байт.
Контрольная сумма MD5:ada388b4cbba8ae3bba0423f184fb724
Версия VDF:6.33.01.27

 Общее Метод распространения:
   • Messenger


Псевдонимы (аliases):
   •  Kaspersky: IM-Worm.Win32.Kelvir.ew
   •  TrendMicro: WORM_KELVIR.DO


Операционные системы:
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файлы

 Файлы Попытка загрузки следующих файлов:

– Следующий URL:
   • http://b0tfilez.tripod.com/**********
Сохраняется локально в: C:\setup.exe

– Следующий URL:
   • http://adserv.pwp.blueyonder.co.uk/eng-us/**********
Сохраняется локально в: %SYSDIR%\%случайная буквенная комбинация%.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой.

 Messenger Распространяется с помощью программы Messenger. Основные характеристики:

– Windows Messenger


Кому:
Все онлайн строки из списка контактов.


Сообщение
Отправленное сообщение может иметь один из следующих видов:

   • wow.. http://www.nbmd.cn/**********

   • is that you? http://www.nbmd.cn/**********

   • omg wahaha!!! http://www.nbmd.cn/**********

   • check this out: http://www.nbmd.cn/**********

   • is this working? http://www.nbmd.cn/**********

URL ссылается на копию описанного вредоносного ПО. Процесс инфицирования повторяется каждый раз при запуске загруженного файла на компьютере пользователя.

 Данные файла Язык программирования:
 Программа была написана на Visual Basic.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:

Описание добавил Andrei Gherman в(о) понедельник, 27 февраля 2006 г.
Описание обновил Andrei Gherman в(о) понедельник, 27 февраля 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.