Description
Détails
Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.
Taille: 11776 Octet(s)
Détails techniques:
A son exécution, Kelvir-O dépose 2 fichiers :
- C:\Program Files\help\help32.exe (33818 octets - une variante du ver Sdbot)
- C:\Program Files\help\zeh.exe (11776 octets - le ver Kelvir-O)
Kelvir-O se propage en envoyant un message à tous les contacts connectés :
"hey its us
http://gatearab.com/{censuré}email={adresse_du_contact}"
Cette url permet de télécharger l'archive contenant le ver.
N.B. : Cette url a été modifiée.
Le ver crée aussi une entrée de registre pour sa propre utilisation :
HKCU\Software\WinRAR SFX\C:\Program Files\help = C:\Program Files\help