A Kelvir.Q féreg MSN Messengeren keresztül terjed, és a fertőzött rendszereken egy hátsó kaput nyit a támadók számára.
A Kelvir.Q - hasonlóan az elődeihez - elsősorban az MSN Messenger azonnali üzenetküldő szolgáltatásain keresztül terjed. A féreg egy hátsó kaput nyit a számítógépeken, amelyeken keresztül a támadók számos kártékony műveletet végezhetnek el, és akár HTTP szervert is indíthatnak.
Amikor a Kelvir.Q féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. MSN Messengeren keresztül egy hivatkozás mellett elküldi az alábbi szövegek valamelyikét:
Hey, i almost pee'd my pants when i saw this
hahaha crazy bust check it out
omg osoma, the feds finally got em
look who they just captured
wow the fbi is awesome
2. Bemásolja magát a Windows System könyvtárába msmmsgr.exe néven.
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE
kulcsaihoz hozzáadja az
"MSN MESSENGER" = "msmmsgr.exe" értéket.
4. A 8126-os TCP porton keresztül csatlakozik egy IRC szerverhez, és nyit egy hátsó kaput. Ezen keresztül a támadók többek között az alábbi műveleteket hajthatják végre:
- folyamatok leállítása
- billentyűzet figyelése
- HTTP szerver indítása
- fájlok letöltése
- parancsok végrehajtása
- fájlok megnyitása, átnevezése, és törlése
- számítógép újraindítása.
Forrás : Biztonságportál