Compras

Symantec.com > Empresas > Security Response > W32.Lirva.C@mm
IMPRIMIR ESTA PÁGINA

W32.Lirva.C@mm

Nível do risco2: Baixo

Descoberto:
8 de Janeiro de 2003
Atualizado:
13 de Fevereiro de 2007 11:43:02 AM
Também conhecido como:
Win32.Lirva.B [CA], W32/Avril-B [Sophos], WORM_LIRVA.C [Trend], I-Worm.Avron.b [KAV], W32/Lirva.c@MM [McAfee]
Tipo:
Worm
Extensão da infecção:
34,815 bytes
Sistemas afetados:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Referências CVE:
CVE-2001-0154

Devido ao aumento de submissões, a partir de 10 de Janeiro de 2003 o Symantec Security Response atualizou a Categoria desta do nível 2 para 3.
O W32.Lirva.C@mm é um worm de envio de e-mail em grande escala que se espalha através do IRC, ICQ, KaZaA e também compartilhamentos abertos de rede. Ele é uma variante do W32.Lirva.A@mm. Esse worm tenta desligar produtos antivírus e firewalls. Além disso envia por e-mail, para o autor do vírus, senhas da rede dial-up do Windows 95/98/Me armazenadas no computador.

O worm se conecta a um site na Web em web.host.kz/ e faz o download do BackOrifice, que o executa. O W32.Lirva.C@mm também tenta fazer o download de outro arquivo, que atualmente não está presente no site da Web.

Quando o Microsoft Outlook recebe o worm, ele utiliza uma vulnerabilidade que permite que os anexos sejam executados automaticamente quando você lê ou visualiza o e-mail. Informações sobre essa vulnerabilidade e um patch podem ser encontrados no endereço http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Se o dia do mês é 7, 11 ou 24, o worm irá iniciar o navegador Web e direcioná-lo para www.avril-lavigne.com e exibirá uma animação na área de trabalho do desktop.




Assim como muitos outros, este worm se aproveita de uma vulnerabilidade que permite que o anexo se auto-execute quando você lê ou visualiza o e-mail. Informações sobre esta vulnerabilidade e um patch podem ser encontrados no endereço http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

Datas da proteção antivírus

  • Versão inicial do Rapid Release8 de Janeiro de 2003
  • Última versão do Rapid Release28 de Setembro de 2010 revisão054
  • Versão inicial diária certificada8 de Janeiro de 2003
  • Última versão diária certificada28 de Setembro de 2010 revisão036
  • Data da versão inicial semanal certificada9 de Janeiro de 2003
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.

Avaliação da ameaça

Disseminação

  • Nível de disseminação:Medium
  • Número de infecções:More than 1000
  • Número de sites:More than 10
  • Distribuição geográfica:High
  • Contenção da ameaça:Easy
  • Remoção:Moderate

Dano

  • Nível do dano:Medium
  • Acionador de atividade:Se o dia do mês é 7, 11 ou 24
  • Atividade:Abre um site web e exibirá uma imagen na área de trabalho do desktop.
  • Envio de e-mail em grande escala:Envia mensagens de e-mail encontrados através de uma pesquisa no Catálogo de Endereços do Windows e arquivos com as extensões .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch, e .idx
  • Divulga informações confidenciais:Envia por e-mail, para o autor do vírus, senhas da rede dial-up do Windows 95/98/Me armazenadas no computador. Envia arquivos TXT e DOC alteatoriamente por para vários endereços de e-mail.
  • Compromete as configurações de segurança:Tenta desligar os produtos antivírus e firewall.

Distribuição

  • Nível de distribuição:High
  • Assunto do e-mail:Vários Assuntos
  • Nome do anexo:Vários nomes de anexo
  • Tamanho do anexo:34,815 bytes
  • Unidades compartilhadas:Se espalha por IRC, ICQ, KaZaA, e compartilhamentos abertos de rede.
Escrito por:Eric Chien
Detalhes técnicos
©1995 - 2012 Symantec Corporation
Mapa do site|
Avisos legais|
Política de privacidade|
Contato|
Sites globais