W32/Kelvir-AX

W32/Kelvir-AX – IM червь и бекдор Троян для Windows платформ.

W32/Kelvir-AX – IM червь и бекдор Троян для Windows платформ.

W32/Kelvir-AX позволяет удаленному атакующему получить доступ к компьютеру через IRC канал. Червь имеет функциональность загружать, устанавливать и запускать произвольные программы. Функциональность W32/Kelvir-AX позволяет:

Красть конфиденциальную информацию

Осуществлять DDoS нападение

Незаметно загружать, устанавливать и запускать произвольное ПО

Отключать другое ПО, включая антивирусы, firewall и другие программы

Изменять HOSTS файл

При запуске червь создает копию в \\svshost.exe и следующие ключи реестра:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

\\svshost.exe 

W32/Kelvir-AX посылает копию червя по контактам AOL Instant Messenger и MSN Messenger со следующими сообщениями:

Hej, download free Emotions and more Extras for your messenger here:
Are you bored of your emotions and winks? download this :
Hey, I found new Winks, Emoticons and alot more for your messenger. Check them out here :
Messeger PLUS just have been released. Check it out, it got alot of extra features that makes your Messenger alot better!
Hej, you got the new Messenger ? :D
Messenger Plus 6.0 Beta has been released....get it here :)
Hej, wanna upgrade your Messenger :D ?
lmao, this is awesome!
lol I just updated my Messenger and I can tell you its awsome!
Check this out bro, its awsome :D !!
LMAO, you should get the new Messenger Plus Add-In...its awsome! :D
ROFL!! this is the funniest things i've ever seen!
LoL dude, you gotta see this!
lmao this is cracking me up...
Mate, you have got to see this! 

W32/Kelvir-AX позволяет отключать процессы со следующими именами:

MCAgentExe
MCUpdateExe
VirusScan Online
VSOCheckTask
Symantec NetDriver Monitor
Outpost Firewall
KAVPersonal50
Zone Labs Client
mcupdmgr.exe
McShield
MCVSRte
MpfService
Symantec Core LC
ccEvtMgr
SNDSrvc
ccProxy
ccPwdSvc
ccSetMgr
SPBBCSvc
SAVScan
SBService
SmcService
OutpostFirewall
CAISafe
PcCtlCom 

W32/Kelvir-AX также изменяет HOST фа йл, чтобы заблокировать доступ к следующим Web сайтам:

127.0.0.1 avp.com
127.0.0.1 www.avp.com
127.0.0.1 ca.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 f-secure.com
127.0.0.1 fastclick.net
127.0.0.1 ftp.f-secure.com
127.0.0.1 ftp.sophos.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 www.microsoft.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 nai.com
127.0.0.1 networkassociates.com
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 vil.nai.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 www.awaps.net
127.0.0.1 www.ca.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.fastclick.net
127.0.0.1 www.my-etrust.com
127.0.0.1 www.nai.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.sophos.com
127.0.0.1 www.symantec.com
127.0.0.1 www3.ca.com
127.0.0.1 www.grisoft.com
127.0.0.1 grisoft.com
127.0.0.1 housecall.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 pandasoftware.com
127.0.0.1 kaspersky.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.zonelabs.com
127.0.0.1 zonelabs.com
127.0.0.1 antivir.com
127.0.0.1 antivir.de
127.0.0.1 www.spywareinfo.com
127.0.0.1 spywareinfo.com
127.0.0.1 www.merijn.org
127.0.0.1 merijn.org 

W32/Kelvir-AX пытается завершить работу следующих процессов :

msconfig.exe
kav.exe
kavsvc.exe
mcvsshld.exe
mcagent.exe
mcvsrte.exe
mcshield.exe
mcvsftsn.exe
mcdash.exe
mcinfo.exe
mpfagent.exe
mpftray.exe
mpfservice.exe
mskagent.exe
mcmnhdlr.exe
sndsrvc.exe
usrprmpt.exe
ccapp.exe
ccevtmgr.exe
spbbcsvc.exe
ccsetmgr.exe
symlcsvc.exe
npfmntor.exe
navapsvc.exe
issvc.exe
ccproxy.exe
navapw32.exe
navw32.exe
smc.exe
outpost.exe
zlclient.exe
vsmon.exe
isafe.exe
pandaavengine.exe
msblast.exe
penis32.exe
teekids.exe
bbeagle.exe
navapsvc
d3dupdate.exe
sysmonxp.exe
irun4.exe
mscvb32.exe
sysinfo.exe
mwincfg32.exe
wincfg32.exe
winsys.exe
zapro.exe
winupd.exe
enterprise.exe
regedit.exe
hijackthis.exe
gcasdtserv.exe
gcasserv.exe
pcctlcom.exe
tmntsrv.exe
tmproxy.exe
pccguide.exe
tmpfw.exe
pcclient.exe
AVGNT.EXE
AVWIN.EXE
taskmgr.exe
AVWUPSRV.EXE
ethereal.exe 

W32/Kelvir-AX может также изменять настройки Internet Explorer изменяя ключ реестра:

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page