Worm.Win32_Kelvir-H
Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: Inconnue
Détails techniques:
Kelvir-H encourageant le destinataire des messages à télécharger un fichier depuis un site Web sur le domaine "members.lycos.nl/csecurity/screensaver/Screensaver.scr", et contient l'une des lignes de texte suivantes :
"Damn, this is so sick!!"
"This is coooollll!!! w0w!"
"What a cock :| Damn ACCEPT!!"
"What a sick dude, lol!!"
"This guy is sooo lucky, what a chick!"
Afin de s'exécuter automatiquement au démarrage de Windows, Kelvir-H paramètre dans le registre les entrées suivantes avec le chemin menant au fichier d'exécution :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Services
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Microsoft Services
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft
Services
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\Microsoft
Services
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Services
Pour essayer de se cacher, Kelvir-H paramètre les entrées suivantes du registre :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableTaskMgr
dword:00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableRegistryTools
dword:00000000
Kelvir-H peut modifier l'entrée suivante du registre :
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
Kelvir-H tente également de télécharger un fichier "service.exe" depuis un site Web prédéfini. Au moment de la rédaction de cette description, ce site n'était pas disponible.
Taille: Inconnue
Détails techniques:
Kelvir-H encourageant le destinataire des messages à télécharger un fichier depuis un site Web sur le domaine "members.lycos.nl/csecurity/screensaver/Screensaver.scr", et contient l'une des lignes de texte suivantes :
"Damn, this is so sick!!"
"This is coooollll!!! w0w!"
"What a cock :| Damn ACCEPT!!"
"What a sick dude, lol!!"
"This guy is sooo lucky, what a chick!"
Afin de s'exécuter automatiquement au démarrage de Windows, Kelvir-H paramètre dans le registre les entrées suivantes avec le chemin menant au fichier d'exécution :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Services
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Microsoft Services
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft
Services
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\Microsoft
Services
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Services
Pour essayer de se cacher, Kelvir-H paramètre les entrées suivantes du registre :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableTaskMgr
dword:00000000
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
DisableRegistryTools
dword:00000000
Kelvir-H peut modifier l'entrée suivante du registre :
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Start
Kelvir-H tente également de télécharger un fichier "service.exe" depuis un site Web prédéfini. Au moment de la rédaction de cette description, ce site n'était pas disponible.
Les Forums VirusTraQ
Un problème avec un virus, un ver, un cheval de Troie ou encore un spyware ?
Venez nous poser vos questions sur les forums VirusTraQ
Les listes VirusTraQ
Lettre d'information
Chaque vendredi, recevez un résumé de l'actualité de la semaine (articles, communiqués, interviews, derniers virus etc...)
Cliquez ici pour vous abonner !
Liste de diffusion Virus
Recevez en "temps réel" les toutes dernières descriptions de virus découverts en liberté.
Cliquez ici pour vous abonner !
