News
13.01.2003, 12:30 Uhr
W32/Lirva (Avril, Naith)
Dieser neue Schädling verbreitet sich über verschiedene Wege (Mail, ICQ, IRC, KaZaA, Netzwerk) und enthält zudem eine Komponente, die Passwörter stiehlt.
Liest man es rückwärts, heisst "Lirva" eigentlich "Avril", was dem Vornamen der kanadischen Pop-Sängerin Avril Lavigne entspricht. Der Wurm mit dem Namen Lirva verbreitet sich via E-Mail, ICQ, IRC, KaZaA und ungeschützte Netzwerkfreigaben. Andere Antivirus-Hersteller nennen ihn etwa Avron oder Naith.
Wird der Wurm ausgeführt, versucht er zunächst, alle laufenden Prozesse und Programme zu beenden, die zu einer Antiviren- oder Firewall-Software gehören könnten.
Für die Verbreitung über E-Mail durchsucht Lirva auf der Festplatte des infizierten PCs den Outlook-Posteingang, die gesendeten Mails und alle Dateien mit den Endungen .dbx, .eml, .htm, .html, .idx, .mbx, .nch, .shtml, .tbb und .wab nach E-Mail-Adressen.
Die Mails, mit denen er sich an die gefundenen Adressen verschickt, tragen eine dieser Betreff-Zeilen:
Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger
Für die Wurm-Beilage konnten bisher folgende Dateinamen ausgemacht werden:
AvrilLavigne.exe
AvrilSmiles.exe
CERT-Vuln-Info.exe
Cogito_Ergo_Sum.exe
Complicated.exe
Download.exe
IAmWiThYoU.exe
MSO-Patch-0035.exe
MSO-Patch-0071.exe
Readme.exe
Resume.exe
Singles.exe
Sk8erBoi.exe
Sophos.exe
Transcripts.exe
Two-Up-Secretly.exe
In den Mails wurde in den bisher bekannten Varianten von Fall zu Fall einer dieser Texte gelesen:
Beispiel 1:
Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:
Beispiel 2:
Restricted area response team (RART) Attachment you sent to is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
Beispiel 3:
Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
Beispiel 4:
Patch is also provided to subscribed list of Microsoft Tech Support: to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so and do not need to take additional action. Customers who have applied that patch are already protected against the vulnerability that is eliminated by a previously-released patch. Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0.
Beispiel 5:
Admission form attached below. Vote for I'm with you! FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Avril fans subscription.
Der Lirva-Wurm bedient sich bei manchen dieser Mails einer bekannten Sicherheitslücke. Diese kann bewirken, dass sich die Beilage einer solchen Wurm-Mail schon beim Lesen der Mail automatisch ausführt, ohne dass der Benutzer die Datei zu öffnen braucht. Wir empfehlen, mindestens den Internet Explorer 5.5 SP2 zu verwenden und auch für diesen via Extras/Windows-Update alle verfügbaren wichtigen Updates zu installieren.
Ausser per Mail verbreitet sich der Wurm auch via ICQ, indem er sich an alle ICQ-Kontakte schickt, die in der Kontakt-Liste des infizierten PCs stehen. Und bei der Verbreitung über IRC versucht Lirva sich an alle Benutzer zu senden, die sich im gleichen Channel (Chat-Kanal) wie der Inhaber des infizierten PCs befinden.
Nach dem Start des Wurms wird unter bestimmten Bedingungen ein Browserfenster mit der Webseite von Avril Lavigne geöffnet, meist begleitet farbigen Ovalen auf dem Desktop, die sich nicht wegklicken lassen (Bild siehe z.B. bei McAfee [1]).
Der Wurm kopiert sich mit einem beliebigen Dateinamen und der Endung EXE in den System- oder System32-Ordner (z.B. unter C:\Windows\System32\). Diese Datei trägt der Wurm in der Windows Registry ein, damit er bei jedem Windows-Start ausgeführt wird:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Der Eintrag lautet: Avril Lavigne - Muse = (Ort und Name der Datei)
Der Wurm erstellt einen weiteren Eintrag in der Registry:
HKEY_LOCAL_MACHINE\Software\HKLM\Software\OvG\Avril Lavigne
Der Wurm legt im TEMP-Ordner und im Papierkorb-Ordner (Recycle) noch weitere Wurm-Exemplare ab. Mindestens eine der im Papierkorb abgelegten Dateien versucht der Wurm in die Datei C:\AUTOEXEC.BAT einzutragen, sofern auf dem PC eine solche Datei existiert.
Eine weitere Datei namens avril-ii.inf wird im Temp-Ordner erstellt, die aber kein Programmcode enthält, sondern reinen (harmlosen) Text.
Als Schadensfunktion versucht er auf dem PC Passwörter auszuschnüffeln und mailt diese an eine Adresse, die vermutlich dem Virenprogrammierer gehört.
Die Antivirus-Hersteller sollten mittlerweile Updates bereithalten, mit denen Ihr Virenscanner den neuen Wurm erkennt. Besitzer befallener PCs öffnen per Rechtsklick und "Bearbeiten" die Datei C:\AUTOEXEC.BAT (falls vorhanden) und entfernen die Zeilen, die auf den Recycled-Ordner hinweisen. Zudem muss der Eintrag "Avril Lavigne - Muse" aus diesem Registry-Zweig entfernt werden:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Weitere Informationen zum Wurm W32/Lirva finden Sie zum Beispiel bei F-Secure [2], Sophos [3], Messagelabs [4] und Symantec [5]. Neuere Varianten des Avril-Wurms verbreiten sich offenbar noch schneller als die bisher bekannte [6].
Auf dem FTP-Server von Kaspersky [7] finden Sie jetzt eine neue Version des kleinen Programms CLRAV.COM. Dieses kann jetzt auch den Lirva-Wurm aus einem System entfernen. Kaspersky kennt diesen Wurm unter dem Namen Avron.
Kommentare
Es sind keine Kommentare vorhanden.