Den nye MSN-ormfamilien, Kelvir, ble trolig først identifisert at Kaspersky Labs den 25. februar. Det første medlemmet av familien kalles for "IM-Worm.Win32.Kelvir.a" av selskapet, mens andre, blant annet Symantec, kaller den samme ormen for "W32.Kelvir.A". Virus112 varsler i tillegg om variant, W32.Kelvir.B.
Ifølge Symantec brukes ormen til å laste og kjøre en variant av W32.Spybot.Worm, som gjør det mulig for ondsinnede å integrere maskin i ett distribuert zombie-nettverk.
Kelvir spres via kontaktlisten til MSN Messenger og framstår lett gjenkjennelig i meldingene, som inneholder en lenke til ormen på et nettsted.
A-varianten sender den følgende meldingen:
omg this is funny! http:// jose.rivera4.home.att.net/ cute.pif (URL er med hensikt stykket opp av redaksjonen)
B-varianten sender denne meldingen:
http:// home.earthlink.net/~gallery10/ omg.pif lol! see it!
u'll like it
Klikker brukeren på én av lenkene, vil filen "cute.pif" eller "omg.pif" kunne lastes ned til maskinen. Åpnes filen, blir maskinen infisert, med mindre oppdatert virusvern er satt til å hindre dette. Åpne derfor ikke filer du mottar over MSN Messenger før du har spurt avsenderen om hva slags fil det egentlig er.
Koden til ormen er pakket med en modifisert utgave av UPX (Ultimate Packer for eXecutables) for å gjøre analysen vanskeligere.
Mer informasjon om Kelvir finnes her (CSIS), her (Kaspersky) og her (Symantec).
Det er uklart hvor kraftig spredningen av Kelvir-ormene er, men flere av de norske riksavisene slått nyheten stort opp, noe som kan tyde på at de har fått mange tips. digi.no har bare mottatt ett eneste tips om ormen, i tillegg til et mindre antall smitteforsøk fra MSN-kontakter.
