Technorati
Facebook
MySpace
LinkedIn
OKNOtizie
Segnalo
Buzz
Wikio
Digg
Delicious
- Rilevato:
- 8 de Gennaio de 2003
- Aggiornato:
- 13 de Febbraio de 2007 11:43:14 AM
- Va anche sotto il nome di:
- Win32.Lirva.B [CA], W32/Avril-B [Sophos], WORM_LIRVA.C [Trend], I-Worm.Avron.b [KAV], W32/Lirva.c@MM [McAfee]
- Tipo:
- Worm
- Lunghezza dell’infezione:
- 34.815 byte
- Sistemi operativi minacciati:
- Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
- Riferimenti CVE:
- CVE-2001-0154
In data 10.01.03, a causa di un aumento di casi di infezione rilevati, il Symantec Security Response ha modificato il livello di gravità di questo worm, portandolo dal grado 2 al grado 3.
W32.Lirva.C@mm è un worm di distribuzione di massa tramite posta elettronica che si diffonde anche mediante IRC, ICQ, KaZaA e condivisioni di rete aperte. Tale variante di W32.Lirva.A@mm tenta di interrompere i processi di prodotti antivirali e firewall ed invia all'inventore del virus le password di accesso remoto contenute nella cache di Windows 95/98/Me.
Il worm si collega ad un sito Web su web.host.kz/, da dove scarica ed esegue BackOrifice. W32.Lirva.C@mm tenta anche di scaricare un altro file, che al momento non è disponibile sul sito Web.
Quando viene ricevuto in Microsoft Outlook, il worm sfrutta la vulnerabilità che consente all'allegato di autoeseguirsi alla lettura o anteprima del messaggio di posta. Ulteriori informazioni a riguardo, nonché un modulo di aggiornamento scaricabile, sono disponibili all'indirizzo: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
Se il giorno del mese è il 7, l'11, o il 24 il browser viene aperto alla pagina www.avril-lavigne.com visualizzando sul desktop di Windows un'animazione grafica.
Come accade anche con diversi altri worm, tale minaccia sfrutta la vulnerabilità che consente all'allegato di autoeseguirsi alla lettura o anteprima del messaggio di posta. Ulteriori informazioni a riguardo, nonché un modulo di aggiornamento scaricabile, sono disponibili all'indirizzo: http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
Date protezione antivirus
- Versione iniziale Rapid Release8 de Gennaio de 2003
- Ultima versione Rapid Release28 de Settembre de 2010 revisione 054
- Versione iniziale Daily Certified8 de Gennaio de 2003
- Ultima versione Daily Certified28 de Settembre de 2010 revisione 036
- Data rilascio Weekly Certified iniziale9 de Gennaio de 2003
Fare clic qui per una descrizione più dettagliata delle definizioni dei virus Rapid Release e Daily Certified.
Valutazione della minaccia
In circolazione
- Livello di circolazione:Medium
- Numero di infezioni:More than 1000
- Numero di siti:More than 10
- Distribuzione geografica:High
- Contenimento della minaccia:Easy
- Rimozione:Moderate
Danno
- Livello del danno:Medium
- Attivazione dell’effetto nocivo (payload):Se il giorno del mese è il 7, l'11, o il 24
- Effetto nocivo (payload):Apre un sito Web e visualizza un'immagine sul desktop di Windows.
- Distribuzione di massa tramite posta elettronica:Invia delle e-mail agli indirizzi trovati nella Rubrica indirizzi di Windows e nei file con estensione .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch, e .idx.
- Rilascio di informazioni riservate:Invia all'inventore del virus le password di accesso remoto contenute nella cache di Windows 95/98/Me. Invia per posta elettronica file con estensione TXT e DOC scelti a caso a vari indirizzi e-mail.
- Compromissione delle impostazioni di sicurezza:Tenta di interrompere i processi di antivirus e firewall.
Distribuzione
- Livello di distribuzione:High
- Oggetto del messaggio:Vari oggetti
- Nome dell'allegato:Vari nomi di allegato
- Dimensioni dell’allegato:34.815 byte
- Unità condivise:Si diffonde tramite IRC, ICQ, KaZaA e condivisioni di rete aperte
Documento di:Eric Chien