Lirva est un virus qui se propage par email,
IRC, ICQ et KaZaA. Il se présente sous la forme d'un
message dont le titre, le corps et le nom du fichier joint sont
aléatoires mais tendent à le faire passer pour
un patch de sécurité ou un fichier multimédia
en rapport avec la chanteuse Avril Lavigne. Si le fichier joint
est exécuté, le virus s'envoie automatiquement
à toutes les adresses email et désactive les antivirus
et outils de sécurité les plus populaires.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer 5.01 et 5.5 doivent aussi mettre
à jour leur navigateur via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille exploitée par le virus
pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixLirva pour rechercher
et éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS :
I-Worm.Avron (AVP)
Worm/Naith.A (CA)
W32/Lirva.A@mm (F-Secure)
W32/Lirva.A@MM (McAfee)
W32.Lirva.A@mm (Symantec)
WORM_LIRVA.A (Trend Micro)
Win32/Naith.C@mm (RAV)
W32/Avril-A (Sophos)
W32/Naith.A-mm
TAILLE :
32.766 octets
DECOUVERTE :
06/01/2003
DESCRIPTION DETAILLEE :
Le virus se présente sous la forme d'un message dont
le titre, le corps et le nom du fichier joint sont variables.
Quelques titres de messages :
- Fw: Prohibited customers...
- Re: Brigade Ocho Free membership
- Re: According to Daos Summit
- Fw: Avril Lavigne - the best
- Re: Reply on account for IIS-Security
- Re: ACTR/ACCELS Transcriptions
- Re: The real estate plunger
- Fwd: Re: Admission procedure
- Re: Reply on account for IFRAME-Security breach
- Fwd: Re: Reply on account for Incorrect MIME-header
La pièce jointe a une extension en .EXE et son nom
évoque un patch de sécurité ou un fichier
multimédia en rapport avec la chanteuse Avril Lavigne.
Quelques exemples de noms de fichiers joints :
- Resume.exe
- Download.exe
- MSO-Patch-0071.exe
- MSO-Patch-0035.exe
- Two-Up-Secretly.exe
- Transcripts.exe
- Readme.exe
- AvrilSmiles.exe
- AvrilLavigne.exe
- Complicated.exe
- Singles.exe
- Sophos.exe
- Cogito_Ergo_Sum.exe
- CERT-Vuln-Info.exe
- Sk8erBoi.exe
- IAmWiThYoU.exe
Trois corps de messages sont possibles :
- "Avril fans subscription FanList admits you to take in
Avril Lavigne 2003 Billboard awards ceremony Vote for I'm
with you! Admission form attached below"
- "Restricted area response team (RART) Attachment you sent
to is intended to overwrite start address at 0000:HH4F To
prevent from the further buffer overflow attacks apply the
MSO-patch"
- "Microsoft has identified a security vulnerability in
Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released
patch. Customers who have applied that patch are already
protected and do not need to take additional action. Microsoft
strongly urges all customers using IIS 4.0 and 5.0 who have
not already done so to apply the patch immediately. Patch
is also provided to subscribed list of Microsoft®Tech Support:"
Le virus exploite une vulnérabilité IFRAME
des navigateurs Internet Explorer 5.01 et 5.5 non à
jour dans leurs correctifs (MS01-020)
pour s'exécuter automatiquement à l'ouverture
du message ou lors de son affichage dans la fenêtre
de prévisualisation des logiciels Outlook ou Outlook
Express. L'entête du message étant modifié,
la pièce jointe est généralement invisible
dans le cas des logiciels de messagerie Outlook.
Si le fichier joint est exécuté, le virus se
copie sur le disque dur sous des noms aléatoires, puis extrait
les adresses emails contenues dans les fichiers .DBX (Outlook
Express), .EML (Outlook Express Mail), .IDX, .MBX (Eudora),
.NCH (Outlook Express News), .TBB (Windows Office Toolbar
Button) ainsi que le carnet d'adresses Windows (.WAB) et les
pages web présents sur le disque pour s'y envoyer automatiquement.
Les messages contaminés ne comportent généralement
aucun destinataire dans le champ "A:" ni "Cc:",
ou simplement l'expression "recipient list not shown:"
dans le champ "Cc:".
Le cas échéant, le virus s'envoie à
tous les contacts ICQ et mIRC et se copie dans le dossier
mis en partage via le logiciel KaZaA en utilisant des noms
de fichier aléatoires. Dans le cas d'un résau
local, Lirva est aussi capable de se propager via les lecteurs
partagés. Sous Windows 95/98/Me, le virus tente d'envoyer
les mots de passe de connexion à une adresse email
russe. Enfin, si le jour du mois est le 7, 11 ou le 24, Lirva
ouvre une session de navigation pour se connecter au site
de la chanteuse Avril Lavigne, affiche des ellipses colorées
au milieu de l'écran ainsi que le message "AVRIL_ LAVIGNE_
LET_ GO - MY_MUSE:) 2002 (c) Otto von Gutenberg".
Il existe au moins deux variantes de ce virus en circulation,
qui peuvent se présenter sous des titres de message
ou des noms de fichier joint plus ou moins différents.
Dans le doute il ne faut jamais ouvrir un fichier suspect
car le virus peut ne pas encore être détecté
par votre antivirus, même à jour dans ses définitions.
Apparue le 8 janvier, la variante Lirva.C a la particularité
de tenter d'installer le troyen BackOrifice sur le poste de
la victime, mais le site web depuis lequel le programme était
téléchargé a été bloqué.
Elle se présente sous la forme d'un message dont le
titre est variable :
- Fw: Redirection error notification
- Re: Brigada Ocho Free membership
- Re: According to Purge's Statement
- Fw: Avril Lavigne - CHART ATTACK!
- Re: Reply on account for IIS-Security Breach (TFTP)
- Re: ACTR/ACCELS Transcriptions
- Re: IREX admits you to take in FSAU 2003
- Fwd: Re: Have U requested Avril Lavigne bio?
- Re: Reply on account for IFRAME-Security breach
- Fwd: Re: Reply on account for Incorrect MIME-header
- Re: Vote seniors masters - don't miss it!
- Fwd: RFC-0245 Specification requested...
- Fwd: RFC-0841 Specification requested...
- Fw: F. M. Dostoyevsky "Crime and Punishment"
- Re: Junior Achievement
- Re: Ha perduto qualque cosa signora?
La pièce jointe infectée a une extension en
.EXE et peut être accompagnée d'un second fichier
copié sur le disque dur de la victime :
- Resume.exe
- ADialer.exe
- MSO-Patch-0071.exe
- MSO-Patch-0035.exe
- Two-Up-Secretly.exe
- Transcripts.exe
- Readme.exe
- AvrilSmiles.exe
- AvrilLavigne.exe
- Complicated.exe
- TrickerTape.exe
- Singles.exe
- Sophos.exe
- Cogito_Ergo_Sum.exe
- CERT-Vuln-Info.exe
- Sk8erBoi.exe
- IAmWiThYoU.exe
- Phantom.exe
- EntradoDePer.exe
- SiamoDiTe.exe
- BioData.exe
- ALavigne.exe
- [nom améatoire].TXT
- [nom améatoire].DOC
Lirva.C est capable de s'envoyer avec une fausse adresse
d'expéditeur, il est donc le plus souvent impossible
de prévenir la personne infectée.
INFORMATIONS COMPLEMENTAIRES :
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|