1 min

Tags in dit artikel

, , ,

Op dit moment wordt een nieuwe instant messaging worm verspreid. Zoals altijd is het een variant op een Kelvir, nu gaat het om Kelvir.k. Net zoals z’n voorgangers is deze Kelvir voorzien van de IRC Bot Backdoor.Win32.Rbot.gen. Hij gebruikt een nieuwe social engineeringtactiek om de gebruikers van MSN Messenger te misleiden.

Kelvir.k linkt naar een .php-bestand in plaats van naar een .pif of .scr-bestand.
Doordat de link naar een .php-bestand gaat kan er meer data worden meegeven. Deze extra data wordt naar de server geschreven op het moment dat de link geopend wordt.

De nietsvermoedende gebruiker krijgt een link toegestuurd, en wanneer die hem dan opent, probeert het bestand iets te downloaden.
Wanneer de gebruiker weigert om dat te downloaden, dan nog weet de worm het e-mailadres van de gebruiker.
Nu heeft de Kelvir.k schrijver een nieuw e-mailadres om te spammen.

Maar dit is niet alles. Er is ook nog een Kelvir.e ontdekt. Deze gebruikt een link naar een .scr om zich te verspreiden.
Dit is iets nieuws, en wordt nog niet door de security van MSN Messenger 7 gefilterd.
Bepaalde bestanden worden door MSN geblokkeerd om het verspreiden van malware tegen te gaan. In het geval van links wordt dat echter niet gedaan.

Volgens insiders zou deze ontwikkeling als gevolg hebben dat IM-gebruikers steeds voorzichtiger worden.