Az MSN Messenger azonnali üzenetküldőn keresztül egy olyan féreg kezdett terjedni, amely a kiszemelt rendszerek nyelvi beállításának megfelelő üzenetek révén terjed.

Az azonnali üzenetküldő (IM) szolgáltatásokon keresztül terjedő férgek egyre nagyobb számban veszélyeztetik a számítógépeket. Az Akonix Systems szerint júliusban 42 új IM vírus jelent meg, ami júniushoz képest 24 százalékos növekedésnek felel meg. Az egyik “legsikeresebb”, azonnali üzenetküldőkön keresztül terjedő féregnek az év elején felbukkant Kelvir számít. A kártevőnek eddig több mint 100 variánsa jelent meg. A legújabb “HI” nevű változata egy új funkcióval is rendelkezik, ugyanis a Windows beállítások alapján az üzenetei nyelvét képes megváltoztatni.

A Kelvir.HI többek között angol, német, francia, spanyol, török, svéd, görög nyelvű üzeneteket is tartalmaz. Leggyakrabban angol üzenetek révén terjed, amelyek a “haha i found your picture!” szöveget tartalmazzák. A különböző nyelvű szövegekben megtalálható egy hivatkozás is. Ha erre a felhasználó rákattint, akkor egy Spyboot féreggel is megfertőződik a rendszere. A Spyboot egy hátsó kaput nyit a számítógépeken, és leállítja a biztonsági alkalmazásokat.

A Kelvir.HI a Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 és a Windows XP operációs rendszereket is meg tudja fertőzni.

Amikor a Kelvir.HI elindul, akkor az alábbi műveleteket hajtja végre:

1. Bemásolja magát a Windows System könyvtárába msmsgr.exe néven.

2. Letölt egy Spybot férget, majd bemásolja azt a Windows System könyvtárába msnmsgr.exe néven.

3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe rsion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer sion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVer sion\RunServices
kulcsaihoz hozzáadja az
“MSN Messenger User Controls” = “msmsgr.exe” értéket.

4. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe rsion
kulcsához hozzáadja a
“TempData” = “[eredeti fájl elérési útvonala]” értéket.

5. A regisztrációs adatbázis
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer sion\Policies\System
kulcsához hozzáadja a
“DisableTaskMgr” = “1”
“DisableRegistryTools” = “1” értékeket.

6. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
kulcsához hozzáadja a
“DisableSR” = “1” értéket.

7. A rendszer területi beállításaitól függően időközönként megjeleníti az alábbi üzenetek egyikét:
haha i found your picture!
lol !Encontre su foto!
lol ik heb je foto gevonden
haha J\\”ai trouve votre photo!
haha Ich fand Ihr Foto!
lol sou malakas!
haha men titta det e ju du
haha Ho trovato la vostra foto!
haha Eu encontrei sua foto!
Senin fotorafini buldum turkiyedeki

8. Üzeneteket küld az MSN Messenger címjegyzékében szereplő felhasználóknak.

9. Nyit egy böngésző ablakot, és megjelenít egy weboldalt.