Win32/Lirva.A, .C (Win32/Naith, Win32/Avril)
Win32/Naith.A (známý též pod jmény Avril či Lirva) je Internetovým wormem, který po spuštění ukládá sebe sama do adresáře Windows pod náhodným jménem a pak přidá do registry klíč, který zaručuje jeho spuštění při každém startu systému Windows:
HKLM / Software / Microsoft / Windows / CurrentVersion / Run / Avril Lavigne - Muse
Win32/Naith posílá sebe sama na všechny adresy, které nalezne v souborech typu DBX, MBX, WAB, HTML, EML, HTM, TBB, SHTML, NCH a IDX. Zpráva má následující charakteristiku:
Subject: jeden z následujících textů:
Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger
Tělo zprávy: jedna ze tří následujích možností:
"Avril fans subscription
FanList admits you to take in Avril Lavigne 2003
Billboard awards ceremony
Vote for I'm with you!
Admission form attached below"
"Restricted area response team (RART)
Attachment you sent to is intended to overwrite
start address at 0000:HH4F
To prevent from the further buffer overflow attacks
apply the MSO-patch"
"Microsoft has identified a security vulnerability in
Microsoft® IIS 4.0 and 5.0
that is eliminated by a previously-released patch.
Customers who have applied that patch are already protected
and do not need to take additional action.
Microsoft strongly urges all customers using IIS 4.0 and 5.0
who have not already done so to apply the patch immediately.
Patch is also provided to subscribed list of Microsoft®Tech Support:"
Připojený soubor může mít jedno z následujích jmen:
AvrilLavigne.exe
AvrilSmiles.exe
CERT-Vuln-Info.exe
Cogito_Ergo_Sum.exe
Complicated.exe
Download.exe
IAmWiThYoU.exe
MSO-Patch-0035.exe
MSO-Patch-0071.exe
Readme.exe
Resume.exe
Singles.exe
Sk8erBoi.exe
Sophos.exe
Transcripts.exe
Two-Up-Secretly.exe
Worm využívá známou bezpečnostní díru v programech Microsoft Internet Explorer, Outlook a Outlook Express, díky které je spuštěn již při pouhém prohlížení zprávy. Je také schopen se šířit po lokální síti: pokud mu to nastavení dovolí, zkopíruje sebe sama pod náhodným jmenem na vzdálený sdílený disk do kořenového adresáře nebo do adresáře RECYCLED. Pak přidá do souboru autoexec.bat řádek (např. "@win \RECYCLED\randomname.exe"), a tak může být spuštěn při příštím startu vzdáleného počítače. Je též schopen posílat sebe sama uživatelům programů ICQ a mIRC.
Worm také vytváří následující klíče v registry:
HKLM\Software\OvG\Avril Lavigne=Done
HKLM\Software\OvG\Avril Lavigne\PSW-Trojan=1
Worm se též může zkopírovat do adresáře programu KaZaA a v dočasném adresáři vytvořit soubor avril-ii.inf. Snaží se také ukončit řadu známých antivirových programů a navíc roztrousí několik kopií sebe sama po celém disku pod náhodným jménem.
Pokud je systémové datum nastaveno na 7., 11. či 24. den v libovolném měsíci, Win32/Naith otevře v programu Internet Explorer domácí stránku skater-punkové skupiny Avril Lavigne a zobrazí barevné elipsy a text "AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg".
Worm je schopen sbírat hesla, uložená na daném počítači, a posílat je na jednu ruskou adresu elektronické pošty.
Varianta C
Liší se především v textech předmětu, těla a v názvech příloh.
Předměty:
Fw: Redirection error notification
Re: Brigada Ocho Free membership
Re: According to Purge's Statement
Fw: Avril Lavigne - CHART ATTACK!
Re: Reply on account for IIS-Security Breach (TFTP)
Re: ACTR/ACCELS Transcriptions
Re: IREX admits you to take in FSAU 2003
Fwd: Re: Have U requested Avril Lavigne bio?
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors masters - don't miss it!
Fwd: RFC-0245 Specification requested...
Fwd: RFC-0841 Specification requested...
Fw: F. M. Dostoyevsky "Crime and Punishment"
Re: Junior Achievement
Re: Ha perduto qualque cosa signora?
Těla zpráv (6 verzí):
Network Associates weekly report: Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support: Patch: Date
Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
Chart attack active list: Vote fo4r I'm with you! Vote fo4r Sk8er Boi!Vote fo4r Complicated!AVRIL LAVIGNE - THE CHART ATTACK!
AVRIL LAVIGNE - THE BEST Avril Lavigne's popularity increases:> SO: First, Vote on TRL for I'm With U! Next, Update your pics database! Chart attack active list
Orginal Message
Přílohy:
Resume.exe
ADialer.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
TrickerTape.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
Phantom.exe
EntradoDePer.exe
SiamoDiTe.exe
BioData.exe
ALavigne.exe
{náhodné}.TXT
{náhodné}.DOC
Zdroj: Alwil software - výrobce antiviru AVAST
|