Descoberta: January 07, 2003
Atualizado: February 13, 2007 11:42:58 AM
Também conhecido como: W32/Avril-A [Sophos], W32/Lirva.b@MM [McAfee], WORM_LIRVA.A [Trend], Win32.Lirva.A [CA], I-Worm.Avron.c [KAV], Lirva [F-Secure]
Tipo: Worm
Extensão da infecção: 32,766 bytes
Sistemas afetados: Windows
Referências CVE: CVE-2001-0154


W32.Lirva.A é um worm de envio de e-mail em grande escala que se espalha através do IRC, ICQ, KaZaA e também compartilhamentos abertos de rede. Esse worm tenta desligar produtos antivírus e firewalls. Além disso envia por e-mail, para o autor do vírus, senhas da rede dial-up do Windows 95/98/Me armazenadas no computador.

Quando o Microsoft Outlook recebe o worm, este utiliza uma vulnerabilidade que permite que os anexos sejam executados automaticamente quando você lê ou visualiza o e-mail. Informações sobre essa vulnerabilidade e um patch podem ser encontrados no endereço http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.

Se o dia do mês é 7, 11 ou 24, o worm irá iniciar o navegador Web e direcioná-lo para www.avril-lavigne.com e exibirá uma animação na área de trabalho do desktop.


Datas da proteção antivírus

  • Versão inicial do Rapid Release January 07, 2003
  • Última versão do Rapid Release August 08, 2016 revisão 023
  • Versão inicial diária certificada January 07, 2003
  • Última versão diária certificada August 09, 2016 revisão 001
  • Data da versão inicial semanal certificada January 07, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Escrito por: Atli Gudmundsson

Descoberta: January 07, 2003
Atualizado: February 13, 2007 11:42:58 AM
Também conhecido como: W32/Avril-A [Sophos], W32/Lirva.b@MM [McAfee], WORM_LIRVA.A [Trend], Win32.Lirva.A [CA], I-Worm.Avron.c [KAV], Lirva [F-Secure]
Tipo: Worm
Extensão da infecção: 32,766 bytes
Sistemas afetados: Windows
Referências CVE: CVE-2001-0154


Quando o W32.Lirva.A é executado, ele faz o seguinte:

  1. Desliga todos os processos com esses nomes:
    • _Avp32.exe
    • _Avp32.exe
    • _avpcc.exe
    • _avpm.exe
    • Ackwin32.exe
    • Anti-trojan.exe
    • Apvxdwin.exe
    • Autodown.exe
    • Avconsol.exe
    • Ave32.exe
    • Avgctrl.exe
    • Avkserv.exe
    • Avp.exe
    • Avp32.exe
    • Avpcc.exe
    • Avpdos32.exe
    • Avpm.exe
    • Avpmon.exe
    • Avpnt.exe
    • Avptc32.exe
    • Avpupd.exe
    • Avsched32.exe
    • Avwin95.exe
    • Avwupd32.exe
    • Blackd.exe
    • Blackice.exe
    • Cfiadmin.exe
    • Cfiaudit.exe
    • Cfind.exe
    • Claw95.exe
    • Claw95ct.exe
    • Cleaner.exe
    • Cleaner3.exe
    • Dv95.exe
    • Dv95_o.exe
    • Dvp95.exe
    • Ecengine.exe
    • Efinet32.exe
    • Esafe.exe
    • Espwatch.exe
    • F-agnt95.exe
    • Findviru.exe
    • Fprot.exe
    • F-prot.exe
    • F-prot95.exe
    • Fp-win.exe
    • Frw.exe
    • F-stopw.exe
    • Iamapp.exe
    • Iamserv.exe
    • Ibmasn.exe
    • Ibmavsp.exe
    • Icload95.exe
    • Icloadnt.exe
    • Icmoon.exe
    • Icssuppnt.exe
    • Icsupp95.exe
    • Iface.exe
    • Iomon98.exe
    • Jed.exe
    • Kpf.exe
    • Kpfw32.exe
    • Lockdown2000.exe
    • Lookout.exe
    • Luall.exe
    • Moolive.exe
    • Mpftray.exe
    • N32scan.exe
    • Navapw32.exe
    • Navlu32.exe
    • Navnt.exe
    • Navsched.exe
    • Navw.exe
    • Navw32.exe
    • Navwnt.exe
    • Nisum.exe
    • Nmain.exe
    • Normist.exe
    • Nupgrade.exe
    • Nvc95.exe
    • Outpost.exe
    • Padmin.exe
    • Pavcl.exe
    • Pccwin98.exe
    • Pcfwallicon.exe
    • Persfw.exe
    • Rav7.exe
    • Rav7win.exe
    • Rescue.exe
    • Safeweb.exe
    • Scan32.exe
    • Scan95.exe
    • Scanpm.exe
    • Scrscan.exe
    • Serv95.exe
    • Smc.exe
    • Sphinx.exe
    • Sweep95.exe
    • Tbscan.exe
    • Tca.exe
    • Tds2-98.exe
    • Tds2-nt.exe
    • Vet95.exe
    • Vettray.exe
    • Vsecomr.exe
    • Vshwin32.exe
    • Vsscan40.exe
    • Vsstat.exe
    • Webscan.exe
    • Webscanx.exe
    • Wfindv32.exe
    • Zonealarm.exe
  2. Examina todas as janelas e termina qualquer processo que tenha as seguintes linhas de texto na barra de título da janela:
    1. virus
    2. anti
    3. McAfee
    4. Virus
    5. Anti
    6. AVP
    7. Norton
  3. Se autocopia como um arquivo de sistema oculto para:
    1. %Temporary%\<random string>
    2. %Temporary%\<random string>.tft
    3. %System%\<random string>.exe
    4. %All Drives%\Recycled\<random string>.exe
    5. %Kazaa Downloads%\<random string>.exe
  4. Adiciona o valor:

    Avril Lavigne - Muse

    na chave de registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    desta forma ele é executado quando você inicia o Windows.

    Se o sistema operacional é o Windows NT/2000/XP, o worm irá se registrar como um serviço.
  5. Cria a chave de registro:

    HKEY_LOCAL_MACHINE\Software\OvG\Avril Lavigne

    e várias subchaves que o worm usa para manter o registro do seu processo de infecção.
  6. Cria um arquivo de texto não malicioso %Temporary%\Avril-ii.inf e outros arquivos temporários na pasta de Temporários do Windows.
  7. Verifica se o computador está atualmente conectado a uma rede. Se ele não estiver conectado, o worm irá tentar discar usando o perfil de conexão dial-up padrão.
  8. Pesquisa endereços de e-mail no Catálogo de Endereços do Windows e arquivos com as extensões .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch, e .idx. Depois o worm envia mensagens de e-mail com estas características
    • Assunto. O assunto é um dos seguintes
      • Fw: Prohibited customers...
      • Re: Brigade Ocho Free membership
      • Re: According to Daos Summit
      • Fw: Avril Lavigne - the best
      • Re: Reply on account for IIS-Security
      • Re: ACTR/ACCELS Transcriptions
      • Re: The real estate plunger
      • Fwd: Re: Admission procedure
      • Re: Reply on account for IFRAME-Security breach
      • Fwd: Re: Reply on account for Incorrect MIME-header
    • Mensagem. A Mensagem é uma das seguintes:
      • Microsoft has identified a security vulnerability in Microsoft&reg; IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
      • Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
      • Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
    • Anexo. O anexo é um dos seguintes:
      • Download.exe
      • MSO-Patch-0071.exe
      • MSO-Patch-0035.exe
      • Two-Up-Secretly.exe
      • Transcripts.exe
      • Readme.exe
      • AvrilSmiles.exe
      • AvrilLavigne.exe
      • Complicated.exe
      • Singles.exe
      • Sophos.exe
      • Cogito_Ergo_Sum.exe
      • CERT-Vuln-Info.exe
      • Sk8erBoi.exe
      • IAmWiThYoU.exe
    • De. O worm usa o servidor SMTP padrão e o nome do usuário para o endereço em "De:".
      Quando o Microsoft Outlook recebe o worm, este se utiliza de uma vulnerabilidade que permite que os anexos sejam executados automaticamente quando você lê ou visualiza o e-mail. Informações sobre essa vulnerabilidade e um patch podem ser encontrados no endereço:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp.
  9. Como parte da rotina de envio do e-mail, o worm cria o arquivo temporário %Temporary%\NewBoot.sys, que ele (normalmente) apaga.
  10. Procura pelo arquivo Icqmapi.dll, determinando o caminho dos arquivos de programa do ICQ. Se o worm encontra esse arquivo, ele o copia para a pasta \Windows\System e se auto-envia para todos os contatos na lista de contatos do ICQ.
  11. Cria um arquivo Script.ini na pasta de arquivos de programa mIRC. Esse arquivo irá se conectar a um canal IRC #avrillavigne e se auto-enviar para outros que entrem em quaisquer canais que você tenha entrado.
  12. Examina todos os recursos de rede procurando por compartilhamentos C abertos. Se o worm acha um compartilhamento C aberto, ele se autocopia para \Recycled\<linha de texto aleatória>.exe no sistema remoto e modifica o arquivo Autoexec.bat do sistema remoto para carregar o worm na inicialização, adicionando a seguinte linha:
    @win <linha de texto aleatória>.exe
  13. Se autocopia para \Recycled\<linha de texto aleatória>.exe em cada unidade de disco rígido local e modifica o arquivo Autoexec.bat (adicionando a linha acima mencionada), de forma que o worm seja executado quando você inicia o Windows (apenas em computadores com o Windows 95/98/Me).
  14. Se autocopia com um nome de arquivo aleatório para a pasta de download do KaZaA.
  15. Se o dia do mês é 7, 11 ou 24, o worm irá iniciar o navegador Web e direcioná-lo para www.avril-lavigne.com, exibindo uma animação na área de trabalho do desktop


Recomendações

Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

  • Use a firewall to block all incoming connections from the Internet to services that should not be publicly available. By default, you should deny all incoming connections and only allow services you explicitly want to offer to the outside world.
  • Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
  • Ensure that programs and users of the computer use the lowest level of privileges necessary to complete a task. When prompted for a root or UAC password, ensure that the program asking for administration-level access is a legitimate application.
  • Disable AutoPlay to prevent the automatic launching of executable files on network and removable drives, and disconnect the drives when not required. If write access is not required, enable read-only mode if the option is available.
  • Turn off file sharing if not needed. If file sharing is required, use ACLs and password protection to limit access. Disable anonymous access to shared folders. Grant access only to user accounts with strong passwords to folders that must be shared.
  • Turn off and remove unnecessary services. By default, many operating systems install auxiliary services that are not critical. These services are avenues of attack. If they are removed, threats have less avenues of attack.
  • If a threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
  • Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
  • Configure your email server to block or remove email that contains file attachments that are commonly used to spread threats, such as .vbs, .bat, .exe, .pif and .scr files.
  • Isolate compromised computers quickly to prevent threats from spreading further. Perform a forensic analysis and restore the computers using trusted media.
  • Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
  • If Bluetooth is not required for mobile devices, it should be turned off. If you require its use, ensure that the device's visibility is set to "Hidden" so that it cannot be scanned by other Bluetooth devices. If device pairing must be used, ensure that all devices are set to "Unauthorized", requiring authorization for each connection request. Do not accept applications that are unsigned or sent from unknown sources.
  • For further information on the terms used in this document, please refer to the Security Response glossary.

Escrito por: Atli Gudmundsson

Descoberta: January 07, 2003
Atualizado: February 13, 2007 11:42:58 AM
Também conhecido como: W32/Avril-A [Sophos], W32/Lirva.b@MM [McAfee], WORM_LIRVA.A [Trend], Win32.Lirva.A [CA], I-Worm.Avron.c [KAV], Lirva [F-Secure]
Tipo: Worm
Extensão da infecção: 32,766 bytes
Sistemas afetados: Windows
Referências CVE: CVE-2001-0154


Estas Instruções são para todos os produtos antivírus da Symantec atuais e recentes, incluindo os produtos da linha Symantec AntiVirus e Norton AntiVirus.

  1. Reinicie o computador no Modo de Segurança.
  2. Remova os valores que são adicionados no registro e reinicie no Modo Normal.
  3. Atualize as definições de vírus.
  4. Execute uma verificação completa do sistema e apague todos os arquivos detectados como W32.Lirva.A@mm.
Para detalhes específicos sobre cada um destes procedimentos, leia as seguintes instruções.

1. Reinicie no Modo de Segurança
    Reinicie o computador no Modo de Segurança. Todos os sistemas operacionais Windows 32-bit, exceto o Windows NT, podem ser reiniciados no Modo de Segurança. Para mais instruções, leia o documento, How to start the computer in Safe Mode (inglês).

2. Removendo o valor do registro
    A Symantec recomenda veementemente que você faça o backup do registro antes de fazer qualquer alteração. Alterações incorretas no registro podem resultar em perda permanente de dados ou arquivos corrompidos. Modifique somente as chaves que estão especificadas. Para instruções, leia o documento, Como fazer um backup do registro do Windows.

    1. Clique Iniciar e em Executar. (A caixa de diálogo Executar aparece.)
    2. Digite regedit e então clique em OK. (O Editor de Registro abre.)
    3. Navegue até a chave:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    4. No painel à direita, exclua o valor:

    Avril Lavigne - Muse

    5. Saia do Editor de Registro.
    6. Reinicie o computador e permita que ele inicie no Modo Normal.

3. Atualizando as definições de vírus
Todas as definições de vírus recebem total garantia de qualidade e são testadas pelo Symantec Security Response antes de serem publicadas em nossos servidores. Existem duas maneiras de obter as definições de vírus mais recentes:
  • Executando o LiveUpdate. Ele é a maneira mais fácil de se obter as definições de vírus. Estas definições passam por testes completos de controle de qualidade no Symantec Security Response e são publicadas nos servidores do LiveUpdate uma vez por semana (geralmente na quarta-feira), a não ser que exista uma importante explosão de ataque de vírus. Para determinar se as definições para esta ameaça estão disponíveis para o LiveUpdate, consulte Definições de Vírus (LiveUpdate), na seção "Proteção", no alto deste aviso.
  • Fazendo o Download das definições usando o Intelligent Updater. As definições de vírus do Intelligent Updater passam por testes completos de controle de qualidade no Symantec Security Response. Elas são publicadas nos dias úteis dos EUA (de Segunda à Sexta-feira). O download destas definições deve ser feito a partir do site Symantec Security Response na Web e a instalação deve ser manual. Para determinar se as definições para esta ameaça estão disponíveis no Intelligent Updater, consulte Definições de Vírus (Intelligent Updater), na seção "Proteção", no alto deste aviso.

As definições de vírus do Intelligent Updater estão disponíveis aqui (inglês). Para instruções detalhadas sobre como fazer o download e instalar as definições de vírus do Intelligent Updater a partir do site Symantec Security Response na Web, clique aqui.

4. Verificando e apagando os arquivos infectados
  1. Inicie o seu programa antivírus da Symantec e esteja certo de que ele está configurado para verificar todos os arquivos.
  2. Execute uma verificação completa do sistema.
  3. Se quaisquer arquivos forem detectados como infectados com o W32.Lirva.A@mm, clique em Apagar.

Escrito por: Atli Gudmundsson