ברגע שהופעל, W32.Kelvir.B מבצע את הפעולות הבאות:
1.שולח את ההודעה הבאה לכל רשימת האנשים ב Windows וב MSN Messanger
במחשב הנגוע.
[Link to a Web site on the home.earthlink.net domain] lol! see it! u’ll like it
הנמען חייב ללחוץ על הלינק, להוריד את הקובץ, ואז להריץ אותו
2.ברגע ש omg.pif הורץ, הוא ינסה להוריד את הקובץ הבא וינסה לשמור אותו כ
c:\dumprep.exe:
[Link to a Web site on the home.earthlink.net domain]/me.jpg
3.הקובץ המורד הינו משתנה של W32.Spybot.Worm. בזמן הפעלתו הראשונית הוא מעתיק את עצמו כ %System%\hotkeysvc.exe
4.מנסה להוריד קובץ נוסף מהדומין yoursite.com.
5.מוסיף את הערך:
קוד:
"CPQHotkeys" = "hotkeysvc.exe"
לריגסטרי:
קוד:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_CURRENT_USER\Software\Microsoft\Ole
HKEY_CURRENT_USER\System\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.default\Software\Microsoft\Windows\CurrentVersion\
RunServices
HKEY_USERS\.default\Software\Microsoft\Ole
HKEY_USERS\.default\System\CurrentControlSet\Control\Lsa
כדי שהקובץ יופעל בזמן הפעלת ה Windows.
6.מוסיף את הערך:
קוד:
"EnableDCOM" = "N"
לרגיסטרי:
קוד:
HKEY_LOCAL_MACHINE\Software\Microsoft\Ole
כדי לבטל את DCOM.
מקור: Symantec
הוראות הסרה לוירוס נמצאות בלינק הנ"ל
[ההודעה נערכה על-ידי FireMan ב-08/03/2005 00:53:33]