5 grudnia 2002

I-Worm.Kelino - udaje wiadomość od firmy Microsoft

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Ma postać pliku PE EXE o rozmiarze około 12 KB i został stworzony przy pomocy języka programowania Assembler.

Zainfekowane wiadomości różnią się w zależności od wersji robaka:

Od (dwa warianty):

 • "Microsoft Support"
 • "Microsoft HelpBoard" help@microsoft.com

Temat: Support Message

Treść (dwa warianty):

 • During the last time, many bugs were found in our software. Because of our product philosophie, we want to give our custumers as much security as possible. So we decided to send out to all known Microsoft custumers the NetBios patch Version 1.0 . This patch will fix all the known and possibly unknown bugs and securityholes on port 137 and 139. The patch is completly free and easy to install. Our patch will install itself after starting and run as background process. After a successfull installation you should get an OK message box. Thanx for using Microsoft products.

  Your Microsoft Support Team

 • During the last time, some bugs were found in our software. Because of our product philosophy, we want to give our customers as much security as possible. So, we decided to end out to all known Microsoft custumers the Security patch Version 1.0 . This patch will fix all the bugs and securityholes on port 137 and 139. The patch is completly free and easy to install. Our patch will install itself after starting and run as background process. After a successfull installation you should get a confirmation message box. Thank you for using Microsoft products.

  Your Microsoft Support Team

Nazwa załącznika:

 • netbiospatch10.exe
 • secpatch10.exe

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Instalacja

Podczas instalacji szkodnik kopiuje się z folderu Windows wybierając, w zależności od wersji, jedną z poniższych nazw:

 • netbiospatch10.exe
 • secpatch10.exe

i tworzy dla tej kopii klucz auto-run w rejestrze systemowy:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
netpatch = netbiospatch10.exe
secpatch = secpatch10.exe

Następnie robak wyświetla fałszywy komunikat o błędzie:

KERNEL32 ERROR
Couldn't execute frame buffer!

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje książkę adresową systemu Windows (plik WAB) oraz bezpośrednie połączenie z domyślnym serwerem SMTP.

Po udanym rozesłaniu zainfekowanych plików, robak powiadamia swojego autora wysyłając do niego pustą wiadomość:

Od: "Kelaino" kelaino@microsoft.com
Do: kelaino@freenet.de

Temat: Slave Message