Win32/Lirva.A

Win32/Lirva.A

Ďalšie názvy: W32/Avril-A, WORM_LIRVA.A, I-Worm/Naith

Win32/Lirva.A je červ, šíriaci sa ako súbor v prílohe správ elektronickej pošty, prostredníctvom IRC, ICQ a po zdieľaných sieťových diskoch. Je napísaný vo Visual C++ a následne pre zmenšenie dĺžky skomprimovaný pakovačom UPX. Jeho skomprimovaná dĺžka je 32 768 bajtov, tá po dekompresii narastie na viac ako 160 kilobajtov.
Win32/Lirva.A využíva pri šírení elektronickou poštou chybu v programoch Microsoft Internet Explorer 5.01 a Microsoft Internet Explorer 5.5 s názvom Incorrect MIME Header. Podstatou tejto chyby je možnosť spustiť červa už len zobrazením náhľadu správy, v ktorej je obsiahnutý. Popis chyby a jej oprava sa nachádza na http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp
Červ Win32/Lirva.A prichádza so správou, ktorej predmet je jeden z nasledovných:

Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header

Text v tele správy je premenlivý a vyskutujú sa v ňom niektoré z nasledovných viet:

Patch is also provided to subscribed list of Microsoft® Tech Support:
to apply the patch immediately.
Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so
and do not need to take additional action.
Customers who have applied that patch are already protected against the vulnerability
that is eliminated by a previously-released patch.
Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0
To prevent from the further buffer overflow attacks apply the MSO-patch
Attachment you sent to %s is intended to overwrite start address at 0000:HH4F%s
Restricted area response team (RART)
Admission form attached below
Vote for I'm with you!
FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony
Avril fans subscription

V prílohe takejto správy sa nachádza súbor, ktorého dĺžka je vždy 32768 bajtov a meno je jedno z nasledovných:

Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe

Po spustení súboru, ktorý sa nachádza v prílohe sa červ aktivuje. Win32/Lirva.A deaktivuje všetky procesy, ktorých mená sa zhodujú s reťazcami uvedenými v nasledovnom zozname: KPF.EXE, KPFW32.EXE, AVPM.EXE, AUTODOWN.EXE, \ AVKSERV.EXE, AVPUPD.EXE, BLACKD.EXE, CFIND.EXE, CLEANER.EXE, ECENGINE.EXE, F-PROT.EXE, FP-WIN.EXE, IAMSERV.EXE, ICLOADNT.EXE, IFACE.EXE, LOOKOUT.EXE, N32SCAN.EXE, NAVW32.EXE, NORMIST.EXE, PADMIN.EXE, PCCWIN98.EXE, RAV7WIN.EXE, SCAN95.EXE, SMC.EXE, TCA.EXE, VETTRAY.EXE, VSSTAT.EXE, ACKWIN32.EXE, AVCONSOL.EXE, AVPNT.EXE, AVPDOS32.EXE, AVSCHED32.EXE, BLACKICE.EXE, EFINET32.EXE, CLEANER3.EXE, ESAFE.EXE, F-PROT95.EXE, FPROT.EXE, IBMASN.EXE, ICMOON.EXE, IOMON98.EXE, LUALL.EXE, NAVAPW32.EXE, NAVWNT.EXE, NUPGRADE.EXE, PAVCL.EXE, PCFWALLICON.EXE, RESCUE.EXE, SCANPM.EXE, SPHINX.EXE, TDS2-98.EXE, VSSCAN40.EXE, WEBSCANX.EXE, WEBSCAN.EXE, ANTI-TROJAN.EXE, AVE32.EXE, AVP.EXE, AVPM.EXE, AVWIN95.EXE, CFIADMIN.EXE, CLAW95.EXE, DVP95.EXE, ESPWATCH.EXE, F-STOPW.EXE, FRW.EXE, IBMAVSP.EXE, ICSUPP95.EXE, JED.EXE, MOOLIVE.EXE, NAVLU32.EXE, NISUM.EXE, NVC95.EXE, NAVSCHED.EXE, PERSFW.EXE, SAFEWEB.EXE, SCRSCAN.EXE, SWEEP95.EXE, TDS2-NT.EXE, VSECOMR.EXE, WFINDV32.EXE, AVPCC.EXE, _AVPCC.EXE, APVXDWIN.EXE, AVGCTRL.EXE, _AVP32.EXE, AVPTC32.EXE, AVWUPD32.EXE, CFIAUDIT.EXE, CLAW95CT.EXE, DV95_O.EXE, DV95.EXE, F-AGNT95.EXE, FINDVIRU.EXE, IAMAPP.EXE, ICLOAD95.EXE, ICSSUPPNT.EXE, LOCKDOWN2000.EXE, MPFTRAY.EXE, NAVNT.EXE, NMAIN.EXE, OUTPOST.EXE, NAVW.EXE, RAV7.EXE, SCAN32.EXE, SERV95.EXE, TBSCAN.EXE, VET95.EXE, VSHWIN32.EXE, ZONEALARM.EXE, AVPMON.EXE, AVP32.EXE. Ukončuje tiež procesy, okná ktorých majú v názve reťazce virus, anti, McAfee, Virus, Anti, AVP alebo Norton.

Poznámka: V ďalšom texte je namiesto mena adresára, v ktorom je nainštalovaný operačný systém Windows, ktorý sa z pochopiteľných dôvodov môže líšiť pri každej jednotlivej inštalácii použitý symbolický zápis %windir%.

Win32/Lirva.A sa potom skopíruje pod náhodnými názvami, ale vždy s príponou .exe do adresárov C:\Recycled\ a %windir%/System. Pod náhodným názvom, ale s príponou .TFT sa červ skopíruje do adresára %windir%/Temp. Tu vytvorí aj súbory avril-ii.inf a Complicated.exe. V koreňovom adresári disku C: vytvorí súbor AvrilSmile.exe.
Súbor avril-ii.inf obsahuje text nasledovného znenia:

2002 (c) Otto von Gutenberg
Made in .::]|KaZAkHstaN|[::.
As stated before, purpose is only educational, however...

I'm back to the scene with one more gift |Avril-II| (remember 'A' version of Avril-II)
HINT:NB: NEVER ACCEPT GIFTS FROM THE STRANGER
Avril-II is commonly dangerous because of its over-trojaned issues
Greetz to Brigada Ocho (http://vx.netlux.org/~b8), Darkside Project (http://darkside.dtn.ru)
and Weisses Fleisch Project (http://wf.h1.ru)
Many thankx to my muse Avril Lavigne whose beauty causes work to flow rapidly
New features included: ICQ/IrC/ShaReD (urgently persuade to check it instantly)
BackOrifice-server dropper will be included next time

Cheerz, Otto (www.otto-koden.h1.ru)

Svoju aktiváciu červ zabezpečí vytvorením položky Avril Lavigne - Muse vo vetve registra systému HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, ktorého hodnotu nastaví na niektorú z vytvorených kópii červa. Vytvorí tiež rozličné položky v novovytvorenej vetve registra systému s názvom HKEY_LOCAL_MACHINE\Software\OvG\Avril Lavigne.
Adresy elektronickej pošty pre svoje šírenie získava zo súborov s príponami IDX, NCH, SHTML, TBB, HTM, EML, HTML, WAB, MBX a DBX.
Win32/Lirva.A sa dokáže šíriť prostredníctvom klienta IRC mIRC tak, že zmení súbor script.ini. Zmena spôsobí, že pošle každému, kto sa pripojí na rovnaký kanál ako napadnutý počítač kópiu červa. Po zdieľaných sieťových diskoch sa červ šíri tak, že modifikuje na dostupnom sieťovom disku súbor autoexec.bat, z ktorého spustí kópiu červa vytvorenú v adresári Recycled na danom disku.
Pokiaľ je 7., 11. alebo 24. deň mesiaca, červ otvorí internetový prehliadač a zobrazí stránku dostupnú na adrese www.avril-lavigne.com.

Odstránenie vírusu:

Ak máte aktuálnu verziu vírusovej databázy NOD32:

spustiť NOD32 (Štart>Programy>Eset>NOD32 - angl. verzia Start>Programs>Eset>NOD32))
v záložke "Ciele diagnostiky" označiť všetky pevné disky
kliknúť na tlačítko "Diagnostika"
keď NOD32 detekuje vírus Win32/Lirva.A - kliknúť na tlačítko "Zmazať"
reštartovať počítač

Ak ste nemali aktuálnu verziu vírusovej databázy NOD32 a boli ste infikovaní:

reštartovať počítač do Núdzového režimu
odstrániť záznam vírusu z registrov:
- kliknúť na Štart>Spustiť (angl. verzia Start>Run)
- vložiť “regedit.exe”
- kliknúť “OK”
- odstrániť záznam “Avril Lavigne – Muse” z registrov - z kľúča “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”
reštartovať počítač do Normálneho režimu
aktualizovať NOD32 na najnovšiu verziu (kliknúť na ikonu Control Centra v pravom dolnom rohu monitora, a tam kliknúť na tlačidlo „Aktualizuj“)
spustiť NOD32 (Štart>Programy>Eset>NOD32 - angl. verzia Start>Programs>Eset>NOD32))
v záložke "Ciele diagnostiky" označiť všetky pevné disky
kliknúť na tlačítko "Diagnostika"
keď NOD32 detekuje vírus Win32/Lirva.A - kliknúť na tlačítko "Zmazať"

Pre ošetrenie chyby v Outlooku si nainštalujte patch ktorý si môžete stiahnuť z uvedených adries:

* Outlook Express
http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp

* Outlook 2000
http://office.microsoft.com/slovakia/downloads/2000/Out2ksec.aspx

* Outlook 2002 (Office XP)
http://office.microsoft.com/slovakia/Downloads/2002/oxpsp2.aspx

Poznámka:
Pod operačnými systémami Windows ME alebo XP sa môže stať, že sa vám nepodarí niektorých napadnutých súborov zbaviť. Tento problém sa môže vyskytovať pri ľubovoľnom víruse a je opísaný tu.