GUSANO

Lirva

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: Lirva.B, Avril.A, Naith.A, Avril, Avron

Aparecido la segunda semana de enero de 2003, Lirva es un gusano de correo masivo desarrollado en Asia Central que usa varios métodos para extenderse: correo electrónico, ICQ, Kazaa, mIRC y carpetas compartidas en red. Lirva también tiene la capacidad de desactivar diversos anti-virus y aplicaciones de seguridad instalados en los sistemas sin que el usuario tenga constancia de ello. Si el gusano está activo en el sistema, intentará robar contraseñas y enviarlos a una dirección electrónica externa. 

El cuerpo del gusano esta comprimido con la utilidad UPX y la longitud del archivo descomprido es de 100 Kilobytes y programado C ++. 

Propagación a través de una red de área local: Las direcciones electrónicas son recogidas de archivos con las extensiones siguientes: .DBX .MBX .WAB .HTML .EML .HTM .TBB .SHTML .NCH .IDX  

El correo electrónico esta formado por una pagina HTML que contiene un exploit para la conocida vulnerabilidad IFRAME, que hace que Internet Explorer auto-ejecute el adjunto, sin necesidad de intervención del usuario.  

Los correos electrónicos infectados se construyen utilizando alguna de las siguientes opciones: 

Asunto:

'Fw: Prohibited customers...'
'Re: Brigade Ocho Free membership'
'Re: According to Daos Summit'
Fw: Avril Lavigne - the best'
'Re: Reply on account for IIS-Security'
Re: ACTR/ACCELS Transcriptions'
'Re: The real estate plunger'
'Fwd: Re: Admission procedure'
'Re: Reply on account for IFRAME-Security breach'
'Fwd: Re: Reply on account for Incorrect MIME-header'

Cuerpo:

'Restricted area response team (RART)
Attachment you sent to %s is intended to overwrite start address at 0000:HH4F%s
To prevent from the further buffer overflow attacks apply the MSO-patch %s'

o

'Avril fans subscription
 FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony
 Vote for I'm with you!
 Admission form attached below' 

o

'Microsoft has identified a security vulnerability in Microsoft(r); IIS 4.0
and 5.0 that is eliminated by a previously-released patch.
Customers who have applied that patch are already protected against the
vulnerability and do not need to take additional action.
Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not
already done so to apply the patch immediately.
Patch is also provided to subscribed list of Microsoft(r) Tech Support:' 

Adjuntos: 

'Resume.exe'
'Download.exe'
'MSO-Patch-0071.exe'
'MSO-Patch-0035.exe'
'Two-Up-Secretly.exe'
'Transcripts.exe'
'Readme.exe'
'AvrilSmiles.exe'
'AvrilLavigne.exe'
'Complicated.exe'
'Singles.exe'
'Sophos.exe'
'Cogito_Ergo_Sum.exe'
'CERT-Vuln-Info.exe'
'Sk8erBoi.exe'
'IAmWiThYoU.exe'

Propagación a través de una red de área local: Lirva busca en todas las carpetas compartidas disponibles en el equipo infectado. El gusano intentará copiarse en el directorio 'Recycled', renombrando la carpeta con un nombre aleatorio. Si la operación de copia falla, lo intenta copiar en raíz. Si tiene éxito en cualquiera de estos intentos, añadirá una línea suplementaria en el  AUTOEXEC.BAT de la unidad remota. 

' @win \recycled \ [random_name] .exe '

o

' @win [random_name] .exe

Si el sistema remoto es Windows 95 /98/Me el gusano se activará cuando se inicie el sistema, mientras que Windows NT, 2000 y XP no se verán afectados por su ataque.

Propagación a través de programas de intercambio: Si Lirva encuentra un cliente Kazaa instalado en el PC infectado, éste se copia en la carpeta que esté compartida con otros usuarios Kazaa. El nombre del archivo es aleatorio escogido del mismo juego de nombres del correo electrónico. Empleando estos nombres familiares hará que más usuarios descargen y ejecuten el gusano.

Propagación a través del Chat IRC: En el  caso de un mIRC, Lirva modifica la configuración del programa, lo cual, provocará que el cliente ofrezca para su descarga el archivo infectado desde cualquier canal de chat en uso. De esta forma, cualquier inocente usuario que se encuentre en dicho canal puede aceptar la descarga y, como consecuencia, infectar su equipo.

Como parte del cambio de configuración, el cliente se incorpora al canal IRC ‘#avrillavigne'.

Propagación a través de redes ICQ: Lirva intenta localizar un archivo llamado 'ICQMAPI.DLL' en el directorio de instalación de ICQ. Si está disponible, lo copia en el directorio 'System' y carga el DLL. Este DLL proporciona el acceso al cliente ICQ. Si el gusano puede establecer una conexión con ICQ, esto le permitirá examinar todos los contactos activos de la lista del usuario e intentará enviarse a todos ellos.

Infección del sistema: El gusano se copia en el directorio 'System'  y añade las siguientes lineas en el registro:

' HKLM\Software\Microsoft\Windows\Current Version\Run\Avril Lavigne - Musa '

' HKLM\Software\OvG\Avril Lavigne '

Robo de contraseñas: Lirva tiene la capacidad para robar contraseñas. Si el PC está conectado a  Internet, el gusano recoge todas las contraseñas almacenadas en el caché de Windows. Estas contraseñas son enviadas a una dirección electrónica externa. Lirva tiene dos direcciones electrónicas fuertemente codificadas de las que selecciona una al azar.

Desactivación de software de Seguridad: Después de infectar el sistema, intenta desactivar los anti-virus y otros productos de seguridad instalados en el sistema. El gusano de vez en cuando comprueba la presencia de los siguientes procesos e intenta acabar con ellos:

'AVP32.EXE'
'AVPMON.EXE'
'ZONEALARM.EXE'
'VSHWIN32.EXE'
'VET95.EXE'
'TBSCAN.EXE'
'SERV95.EXE'
'SCAN32.EXE'
'RAV7.EXE'
'NAVW.EXE'
'OUTPOST.EXE'
'NMAIN.EXE'
'NAVNT.EXE'
'MPFTRAY.EXE'
'LOCKDOWN2000.EXE'
'ICSSUPPNT.EXE'
'ICLOAD95.EXE'
'IAMAPP.EXE'
'FINDVIRU.EXE'
'F-AGNT95.EXE'
'DV95.EXE'
'DV95_O.EXE'
'CLAW95CT.EXE'
'CFIAUDIT.EXE'
'AVWUPD32.EXE'
'AVPTC32.EXE'
'_AVP32.EXE'
'AVGCTRL.EXE'
'APVXDWIN.EXE'
'_AVPCC.EXE'
'AVPCC.EXE'
'WFINDV32.EXE'
'VSECOMR.EXE'
'TDS2-NT.EXE'
'SWEEP95.EXE'
'SCRSCAN.EXE'
'SAFEWEB.EXE'
'PERSFW.EXE'
'NAVSCHED.EXE'
'NVC95.EXE'
'NISUM.EXE'
'NAVLU32.EXE'
'MOOLIVE.EXE'
'JED.EXE'
'ICSUPP95.EXE'
'IBMAVSP.EXE'
'FRW.EXE'
'F-STOPW.EXE'
'ESPWATCH.EXE'
'DVP95.EXE'
'CLAW95.EXE'
'CFIADMIN.EXE'
'AVWIN95.EXE'
'AVPM.EXE'
'AVP.EXE'
'AVE32.EXE'
'ANTI-TROJAN.EXE'
'WEBSCAN.EXE'
'WEBSCANX.EXE'
'VSSCAN40.EXE'
'TDS2-98.EXE'
'SPHINX.EXE'
'SCANPM.EXE'
'RESCUE.EXE'
'PCFWALLICON.EXE'
'PAVCL.EXE'
'NUPGRADE.EXE'
'NAVWNT.EXE'
'NAVAPW32.EXE'
'LUALL.EXE'
'IOMON98.EXE'
'ICMOON.EXE'
'IBMASN.EXE'
'FPROT.EXE'
'F-PROT95.EXE'
'ESAFE.EXE'
'CLEANER3.EXE'
'EFINET32.EXE'
'BLACKICE.EXE'
'AVSCHED32.EXE'
'AVPDOS32.EXE'
'AVPNT.EXE'
'AVCONSOL.EXE'
'ACKWIN32.EXE'
'VSSTAT.EXE'
'VETTRAY.EXE'
'TCA.EXE'
'SMC.EXE'
'SCAN95.EXE'
'RAV7WIN.EXE'
'PCCWIN98.EXE'
'PADMIN.EXE'
'NORMIST.EXE'
'NAVW32.EXE'
'N32SCAN.EXE'
'LOOKOUT.EXE'
'IFACE.EXE'
'ICLOADNT.EXE'
'IAMSERV.EXE'
'FP-WIN.EXE'
'F-PROT.EXE'
'ECENGINE.EXE'
'CLEANER.EXE'
'CFIND.EXE'
'BLACKD.EXE'

Payload: Si el día del mes es 7, 11 ó 24, el gusano abre en el navegador la página 'www.avril-lavigne.com' y muestra en pantalla diversas elipses de llamativos colores y el texto 'AVRIL_LAVIGNE_LET_GO - MY MUSE:) 2002 (c) Otto von Gutenverg' en la esquina superior izquierda.


Copyright © VIRUSPROT.COM