Win32/Lirva.A, .C (Win32/Naith, Win32/Avril)

Win32/Naith.A (známý též pod jmény Avril či Lirva) je Internetovým wormem, který po spuštění ukládá sebe sama do adresáře Windows pod náhodným jménem a pak přidá do registry klíč, který zaručuje jeho spuštění při každém startu systému Windows:

HKLM / Software / Microsoft / Windows / CurrentVersion / Run / Avril Lavigne - Muse

Win32/Naith posílá sebe sama na všechny adresy, které nalezne v souborech typu DBX, MBX, WAB, HTML, EML, HTM, TBB, SHTML, NCH a IDX. Zpráva má následující charakteristiku:

Subject: jeden z následujících textů:

Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger

Tělo zprávy: jedna ze tří následujích možností:

  • "Avril fans subscription
    FanList admits you to take in Avril Lavigne 2003
    Billboard awards ceremony
    Vote for I'm with you!
    Admission form attached below"

  • "Restricted area response team (RART)
    Attachment you sent to is intended to overwrite
    start address at 0000:HH4F
    To prevent from the further buffer overflow attacks
    apply the MSO-patch"

  • "Microsoft has identified a security vulnerability in
    Microsoft® IIS 4.0 and 5.0
    that is eliminated by a previously-released patch.
    Customers who have applied that patch are already protected
    and do not need to take additional action.
    Microsoft strongly urges all customers using IIS 4.0 and 5.0
    who have not already done so to apply the patch immediately.
    Patch is also provided to subscribed list of Microsoft®Tech Support:"

    Připojený soubor může mít jedno z následujích jmen:

    AvrilLavigne.exe
    AvrilSmiles.exe
    CERT-Vuln-Info.exe
    Cogito_Ergo_Sum.exe
    Complicated.exe
    Download.exe
    IAmWiThYoU.exe
    MSO-Patch-0035.exe
    MSO-Patch-0071.exe
    Readme.exe
    Resume.exe
    Singles.exe
    Sk8erBoi.exe
    Sophos.exe
    Transcripts.exe
    Two-Up-Secretly.exe

    Worm využívá známou bezpečnostní díru v programech Microsoft Internet Explorer, Outlook a Outlook Express, díky které je spuštěn již při pouhém prohlížení zprávy. Je také schopen se šířit po lokální síti: pokud mu to nastavení dovolí, zkopíruje sebe sama pod náhodným jmenem na vzdálený sdílený disk do kořenového adresáře nebo do adresáře RECYCLED. Pak přidá do souboru autoexec.bat řádek (např. "@win \RECYCLED\randomname.exe"), a tak může být spuštěn při příštím startu vzdáleného počítače. Je též schopen posílat sebe sama uživatelům programů ICQ a mIRC.

    Worm také vytváří následující klíče v registry:

    HKLM\Software\OvG\Avril Lavigne=Done 
    HKLM\Software\OvG\Avril Lavigne\PSW-Trojan=1 
    

    Worm se též může zkopírovat do adresáře programu KaZaA a v dočasném adresáři vytvořit soubor avril-ii.inf. Snaží se také ukončit řadu známých antivirových programů a navíc roztrousí několik kopií sebe sama po celém disku pod náhodným jménem.

    Pokud je systémové datum nastaveno na 7., 11. či 24. den v libovolném měsíci, Win32/Naith otevře v programu Internet Explorer domácí stránku skater-punkové skupiny Avril Lavigne a zobrazí barevné elipsy a text "AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg".

    Worm je schopen sbírat hesla, uložená na daném počítači, a posílat je na jednu ruskou adresu elektronické pošty.

    Varianta C

    Liší se především v textech předmětu, těla a v názvech příloh.

    Předměty:

    Fw: Redirection error notification
    Re: Brigada Ocho Free membership
    Re: According to Purge's Statement
    Fw: Avril Lavigne - CHART ATTACK!
    Re: Reply on account for IIS-Security Breach
    (TFTP)
    Re: ACTR/ACCELS Transcriptions
    Re: IREX admits you to take in FSAU 2003
    Fwd: Re: Have U requested Avril Lavigne bio?
    Re: Reply on account for IFRAME-Security breach
    Fwd: Re: Reply on account for Incorrect MIME-header
    Re: Vote seniors masters - don't miss it!
    Fwd: RFC-0245 Specification requested...
    Fwd: RFC-0841 Specification requested...
    Fw: F. M. Dostoyevsky "Crime and Punishment"
    Re: Junior Achievement
    Re: Ha perduto qualque cosa signora?

    Těla zpráv (6 verzí):

  • Network Associates weekly report: Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support: Patch: Date
  • Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
  • Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
  • Chart attack active list: Vote fo4r I'm with you! Vote fo4r Sk8er Boi!Vote fo4r Complicated!AVRIL LAVIGNE - THE CHART ATTACK!
  • AVRIL LAVIGNE - THE BEST Avril Lavigne's popularity increases:> SO: First, Vote on TRL for I'm With U! Next, Update your pics database! Chart attack active list
  • Orginal Message

    Přílohy:

    Resume.exe
    ADialer.exe
    MSO-Patch-0071.exe
    MSO-Patch-0035.exe
    Two-Up-Secretly.exe
    Transcripts.exe
    Readme.exe
    AvrilSmiles.exe
    AvrilLavigne.exe
    Complicated.exe
    TrickerTape.exe
    Singles.exe
    Sophos.exe
    Cogito_Ergo_Sum.exe
    CERT-Vuln-Info.exe
    Sk8erBoi.exe
    IAmWiThYoU.exe
    Phantom.exe
    EntradoDePer.exe
    SiamoDiTe.exe
    BioData.exe
    ALavigne.exe
    {náhodné}.TXT
    {náhodné}.DOC


    Zdroj: Alwil software - výrobce antiviru AVAST