W32/Kelvir-AX

W32/Kelvir-AX – IM червь и бекдор Троян для Windows платформ.

W32/Kelvir-AX – IM червь и бекдор Троян для Windows платформ.

W32/Kelvir-AX позволяет удаленному атакующему получить доступ к компьютеру через IRC канал. Червь имеет функциональность загружать, устанавливать и запускать произвольные программы. Функциональность W32/Kelvir-AX позволяет:

Красть конфиденциальную информацию

Осуществлять DDoS нападение

Незаметно загружать, устанавливать и запускать произвольное ПО

Отключать другое ПО, включая антивирусы, firewall и другие программы

Изменять HOSTS файл

При запуске червь создает копию в \\svshost.exe и следующие ключи реестра:

 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
 \\svshost.exe 

W32/Kelvir-AX посылает копию червя по контактам AOL Instant Messenger и MSN Messenger со следующими сообщениями:

 Hej, download free Emotions and more Extras for your messenger here:
 Are you bored of your emotions and winks? download this :
 Hey, I found new Winks, Emoticons and alot more for your messenger. Check them out here :
 Messeger PLUS just have been released. Check it out, it got alot of extra features that makes your Messenger alot better!
 Hej, you got the new Messenger ? :D
 Messenger Plus 6.0 Beta has been released....get it here :)
 Hej, wanna upgrade your Messenger :D ?
 lmao, this is awesome!
 lol I just updated my Messenger and I can tell you its awsome!
 Check this out bro, its awsome :D !!
 LMAO, you should get the new Messenger Plus Add-In...its awsome! :D
 ROFL!! this is the funniest things i've ever seen!
 LoL dude, you gotta see this!
 lmao this is cracking me up...
 Mate, you have got to see this! 

W32/Kelvir-AX позволяет отключать процессы со следующими именами:

 MCAgentExe
 MCUpdateExe
 VirusScan Online
 VSOCheckTask
 Symantec NetDriver Monitor
 Outpost Firewall
 KAVPersonal50
 Zone Labs Client
 mcupdmgr.exe
 McShield
 MCVSRte
 MpfService
 Symantec Core LC
 ccEvtMgr
 SNDSrvc
 ccProxy
 ccPwdSvc
 ccSetMgr
 SPBBCSvc
 SAVScan
 SBService
 SmcService
 OutpostFirewall
 CAISafe
 PcCtlCom 

W32/Kelvir-AX также изменяет HOST фа йл, чтобы заблокировать доступ к следующим Web сайтам:

 127.0.0.1 avp.com
 127.0.0.1 www.avp.com
 127.0.0.1 ca.com
 127.0.0.1 dispatch.mcafee.com
 127.0.0.1 download.mcafee.com
 127.0.0.1 f-secure.com
 127.0.0.1 fastclick.net
 127.0.0.1 ftp.f-secure.com
 127.0.0.1 ftp.sophos.com
 127.0.0.1 liveupdate.symantec.com
 127.0.0.1 www.microsoft.com
 127.0.0.1 customer.symantec.com
 127.0.0.1 rads.mcafee.com
 127.0.0.1 mast.mcafee.com
 127.0.0.1 mcafee.com
 127.0.0.1 my-etrust.com
 127.0.0.1 nai.com
 127.0.0.1 networkassociates.com
 127.0.0.1 secure.nai.com
 127.0.0.1 securityresponse.symantec.com
 127.0.0.1 service1.symantec.com
 127.0.0.1 sophos.com
 127.0.0.1 www.mcafee.com
 127.0.0.1 support.microsoft.com
 127.0.0.1 symantec.com
 127.0.0.1 update.symantec.com
 127.0.0.1 updates.symantec.com
 127.0.0.1 us.mcafee.com
 127.0.0.1 vil.nai.com
 127.0.0.1 viruslist.com
 127.0.0.1 www.viruslist.com
 127.0.0.1 www.awaps.net
 127.0.0.1 www.ca.com
 127.0.0.1 www.f-secure.com
 127.0.0.1 www.fastclick.net
 127.0.0.1 www.my-etrust.com
 127.0.0.1 www.nai.com
 127.0.0.1 www.networkassociates.com
 127.0.0.1 www.sophos.com
 127.0.0.1 www.symantec.com
 127.0.0.1 www3.ca.com
 127.0.0.1 www.grisoft.com
 127.0.0.1 grisoft.com
 127.0.0.1 housecall.trendmicro.com
 127.0.0.1 trendmicro.com
 127.0.0.1 www.trendmicro.com
 127.0.0.1 www.pandasoftware.com
 127.0.0.1 pandasoftware.com
 127.0.0.1 kaspersky.com
 127.0.0.1 www.kaspersky.com
 127.0.0.1 www.zonelabs.com
 127.0.0.1 zonelabs.com
 127.0.0.1 antivir.com
 127.0.0.1 antivir.de
 127.0.0.1 www.spywareinfo.com
 127.0.0.1 spywareinfo.com
 127.0.0.1 www.merijn.org
 127.0.0.1 merijn.org 

W32/Kelvir-AX пытается завершить работу следующих процессов :

 msconfig.exe
 kav.exe
 kavsvc.exe
 mcvsshld.exe
 mcagent.exe
 mcvsrte.exe
 mcshield.exe
 mcvsftsn.exe
 mcdash.exe
 mcinfo.exe
 mpfagent.exe
 mpftray.exe
 mpfservice.exe
 mskagent.exe
 mcmnhdlr.exe
 sndsrvc.exe
 usrprmpt.exe
 ccapp.exe
 ccevtmgr.exe
 spbbcsvc.exe
 ccsetmgr.exe
 symlcsvc.exe
 npfmntor.exe
 navapsvc.exe
 issvc.exe
 ccproxy.exe
 navapw32.exe
 navw32.exe
 smc.exe
 outpost.exe
 zlclient.exe
 vsmon.exe
 isafe.exe
 pandaavengine.exe
 msblast.exe
 penis32.exe
 teekids.exe
 bbeagle.exe
 navapsvc
 d3dupdate.exe
 sysmonxp.exe
 irun4.exe
 mscvb32.exe
 sysinfo.exe
 mwincfg32.exe
 wincfg32.exe
 winsys.exe
 zapro.exe
 winupd.exe
 enterprise.exe
 regedit.exe
 hijackthis.exe
 gcasdtserv.exe
 gcasserv.exe
 pcctlcom.exe
 tmntsrv.exe
 tmproxy.exe
 pccguide.exe
 tmpfw.exe
 pcclient.exe
 AVGNT.EXE
 AVWIN.EXE
 taskmgr.exe
 AVWUPSRV.EXE
 ethereal.exe 

W32/Kelvir-AX может также изменять настройки Internet Explorer изменяя ключ реестра:

 HKCU\Software\Microsoft\Internet Explorer\Main\Start Page