W32/Kelvir.F. Se propaga por MSN Messengerhttp://www.vsantivirus.com/kelvir-f.htmNombre: W32/Kelvir.F
Nombre NOD32: NewHeur_PE (detectado con heurística)
Tipo: Gusano de Internet
Alias: Kelvir.F, W32.Kelvir.F
Fecha: 11/mar/05
Plataforma: Windows 32-bit
Gusano que se propaga por MSN Messenger a todos los contactos en línea. Este mecanismo requiere que el usuario tenga una sesión abierta del Messenger para que ello ocurra.
El gusano muestra un mensaje con el siguiente enlace para descargar un archivo:
http: / /[dirección]/girls.com
El usuario que recibe y acepta este mensaje, debe pinchar en el enlace para descargar el archivo, que es el gusano propiamente dicho. El nombre de este archivo suele ser GIRLS.COM, y en realidad se trata de un RAR autoextraíble.
Cuando se ejecuta (doble clic), libera los siguientes archivos en la carpeta "Archivos de programa":
[Archivos de programa]\MSS\link.exe
[Archivos de programa]\MSS\pwn.exe
[Archivos de programa] puede ser la carpeta "c:\archivos de programa" o "c:\program files"
PWN.EXE es un gusano del tipo BOT y LINK.EXE es una copia del propio gusano.
Después ejecuta a LINK.EXE. Este componente intenta enviar un mensaje similar al ya visto, con el propio gusano como archivo adjunto, a otros contactos en línea.
También copia a PWN.EXE como DOS.EXE en la carpeta del sistema:
c:\windows\system32\dos.exe
Este archivo tendrá los atributos de oculto (+H), solo lectura (+R) y del sistema (+S).
Mas informacion...
http://www.vsantivirus.com/kelvir-f.htm