NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior


Nuevo Virus gusano W32/Lirva@MM que se controla desde DATS 4241 y engine 4.1.60, de propagación masiva a través de e-mail con fichero anexado, a veces ejecutado automáticamente por exploit MIME con sólo leer el e-mail con Outlook Expres si no se tiene actualizado el Internet Explorer, o por IRC , ICQ o KaZaa

 

ADEMAS DE LA MALICIA DE ROBAR PASSWORDS Y ENVIARLOS A UNA DIRECCION DE UN SERVIDOR RUSO, SUPUESTAMENTE DEL AUTOR (otto_xxxx @smtp.ru), TIENE PAYLOAD LOS DIAS 7, 11 y 24 DE CADA MES, EN LOS QUE SE CONECTA CON LA WEB LEGAL DE LA CANTANTE AVRIL LAVIGNE Y VISUALIZA UNA FRASE Y FIGURAS DE VARIOS COLORES Y POR ULTIMO, DESACTIVA LOS PRINCIPALES PROCESOS DE SEGURIDAD RESIDENTES .

Nombre de virus: W32/Lirva.A@MM
Alias conocidos: Win32.Avril , w32/Lirva, I_Worm.Avron, Worm Naith
Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)
Activación: Por simple lectura de e-mail infectado o ejecución del fichero anexado a dicho e-mail
Propagación: Por recepción de e-mail infectado, o vía IRC, ICQ, o KaZaa
Detección: desde DATS 4241
Motor necesario: desde 4.1.60
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata un gusano que ha empezado a infectar ordenadores en nuestro pais, por lo cual la probabilidad de infección es ya alta.

Se propaga mediante envío de e-mails a direcciones que captura de ficheros existentes con las siguientes extensiones, propias de libretas de direcciones, mails recibidos, mails enviados, etc:

 

.DBX
.EML
.HTM
.HTML
.IDX
.MBX
.NCH
.SHTML
.TBB
.WAB

El asunto de los e-mails es variado y aleatorio, de entre la siguiente lista

Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger

El Texto o contenido del mail lo escoge entre 3 predeterminados, a saber:

 

"Restricted area response team (RART)
___________________________________

Attachment you send to is intended to overwrite start address at 0000:HH4F

To prevent from the further buffer overflow attacks apply the MSO-patch.

___________________________________"

ó 2º

"Patch is also provided to subscribed list of Microsoft Tech Support: to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so and do not need to take additional action. Customers who have applied that patch are already protected against the vulnerability that is eliminated by a previously-released patch. Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0."

ó 3º

"Admission form attached below. Vote for I'm with you! FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Avril fans subscription"

 

Y el nombre del fichero anexado, el gusano propiamente dicho, es aleatorio de entre los siguientes nombres:

AvrilLavigne.exe
AvrilSmiles.exe
CERT-Vuln-Info.exe
Cogito_Ergo_Sum.exe
Complicated.exe
Download.exe
IAmWiThYoU.exe
MSO-Patch-0035.exe
MSO-Patch-0071.exe
Readme.exe
Resume.exe
Singles.exe
Sk8erBoi.exe
Sophos.exe
Transcripts.exe
Two-Up-Secretly.exe

Además también se propaga vía ICQ, IRC, y KaZaa, y su principal payload.es robar passwords, además de finalizar los procesos de los principales antivirus y cortafuegos residentes en memoria, a saber:

 

  • _AVP32.EXE
  • _AVPCC.EXE
  • _AVPM.EXE
  • ACKWIN32.EXE
  • ANTI-TROJAN.EXE
  • APVXDWIN.EXE
  • AUTODOWN.EXE
  • AVCONSOL.EXE
  • AVE32.EXE
  • AVGCTRL.EXE
  • AVKSERV.EXE
  • AVP.EXE
  • AVP32.EXE
  • AVPCC.EXE
  • AVPDOS32.EXE
  • AVPM.EXE
  • AVPMON.EXE
  • AVPNT.EXE
  • AVPTC32.EXE
  • AVPUPD.EXE
  • AVSCHED32.EXE
  • AVWIN95.EXE
  • AVWUPD32.EXE
  • BLACKD.EXE
  • BLACKICE.EXE
  • CFIADMIN.EXE
  • CFIAUDIT.EXE
  • CFIND.EXE
  • CLAW95.EXE
  • CLAW95CT.EXE
  • CLEANER.EXE
  • CLEANER3.EXE
  • DV95.EXE
  • DV95_O.EXE
  • DVP95.EXE
  • ECENGINE.EXE
  • EFINET32.EXE
  • ESAFE.EXE
  • ESPWATCH.EXE
  • F-AGNT95.EXE
  • FINDVIRU.EXE
  • FPROT.EXE
  • F-PROT.EXE
  • F-PROT95.EXE
  • FP-WIN.EXE
  • FRW.EXE
  • F-STOPW.EXE
  • IAMAPP.EXE
  • IAMSERV.EXE
  • IBMASN.EXE
  • IBMAVSP.EXE
  • ICLOAD95.EXE
  • ICLOADNT.EXE
  • ICMOON.EXE
  • ICSSUPPNT.EXE
  • ICSUPP95.EXE
  • IFACE.EXE
  • IOMON98.EXE
  • JED.EXE
  • KPF.EXE
  • KPFW32.EXE
  • LOCKDOWN2000.EXE
  • LOOKOUT.EXE
  • LUALL.EXE
  • MOOLIVE.EXE
  • MPFTRAY.EXE
  • N32SCAN.EXE
  • NAVAPW32.EXE
  • NAVLU32.EXE
  • NAVNT.EXE
  • NAVSCHED.EXE
  • NAVW.EXE
  • NAVW32.EXE
  • NAVWNT.EXE
  • NISUM.EXE
  • NMAIN.EXE
  • NORMIST.EXE
  • NUPGRADE.EXE
  • NVC95.EXE
  • OUTPOST.EXE
  • PADMIN.EXE
  • PAVCL.EXE
  • PCCWIN98.EXE
  • PCFWALLICON.EXE
  • PERSFW.EXE
  • RAV7.EXE
  • RAV7WIN.EXE
  • RESCUE.EXE
  • SAFEWEB.EXE
  • SCAN32.EXE
  • SCAN95.EXE
  • SCANPM.EXE
  • SCRSCAN.EXE
  • SERV95.EXE
  • SMC.EXE
  • SPHINX.EXE
  • SWEEP95.EXE
  • TBSCAN.EXE
  • TCA.EXE
  • TDS2-98.EXE
  • TDS2-NT.EXE
  • VET95.EXE
  • VETTRAY.EXE
  • VSECOMR.EXE
  • VSHWIN32.EXE
  • VSSCAN40.EXE
  • VSSTAT.EXE
  • WEBSCAN.EXE
  • WEBSCANX.EXE
  • WFINDV32.EXE
  • ZONEALARM.EXE

El gusano se copia a sí mismo en el directorio de sistema de windows usando un nombre de 11 letras generado al azar, como por ejemplo: A33AAAAgbab.EXE, que luego ejecutará desde el registro.

A continuación crea una clave en el registro de sistema que hace ejecutar este fichero cada vez que se reinicia Windows, siguiendo el ejemplo anterior sería:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "Avril Lavigne - Muse" = C:\WINDOWS\SYSTEM\A33AAAAgbab.EXE

Otra clave es creada y usada como marca para saber que el sistema ya ha sido infectado:

HKEY_LOCAL_MACHINE\Software\HKLM\Software\OvG\Avril Lavigne

Y también crea otra copia de sí mismo usando uno de los nombres con los que se envía como fichero anexado por e-mail, en la carpeta:

C:\%WINDIR%\TEMP

Además crea otras 4 copias de sí mismo, usando nombres aleatorios, en la carpeta c:\Recycled y añade la ejecución de uno de ellos en el AUTOEXEC.BAT

Ejemplo : @win \RECYCLED\FF177Fe6.exe

En el directorio temporal de windows (%WINDIR%\TEMP), crea un fichero de nombre "avril-ii.inf" que contiene mensajes del autor del virus.

"2002 (c) Otto von Gutenberg
Made in .::]|KaZAkHstaN|[::.
As stated before, purpose is only educational, however...
I'm back to the scene with one more gift |Avril-II| (remember 'A' version of Avril-II)
HINT:NB: NEVER ACCEPT GIFTS FROM THE STRANGER
Avril-II is commonly dangerous because of its over-trojaned issues
Greetz to Brigada Ocho (http://vx.netlux.org/~b8), Darkside Project (http://darkside.dtn.ru) and Weisses Fleisch Project (http://wf.h1.ru)
Many thankx to my muse Avril Lavigne whose beauty causes work to flow rapidly
New features included: ICQ/IrC/ShaReD (urgently persuade to check it instantly)
BackOrifice-server dropper will be included next time
Cheerz, Otto (www.otto-koden.h1.ru)"

ACTIVACION (PAYLOAD):

El principal payload es el robo de contraseñas existentes en la caché de password de Windows, las cuales envía a una dirección, supuestamente del creador del virus, "otto-xxxx@smtp.ru"

Asimismo finaliza gran cantidad de procesos de antivirus y cortafuegos residentes en memoria, de la lista arriba indicada, además de finalizar los residentes cuyas ventanas incluyan palabras clave, todas ellas correspondientes a funciones o marcas de antivirus, a saber:

anti
Anti
AVP
McAfee
Norton
virus
Virus

El gusano tiene programadas tres fechas de activación de menor importancia, aunque mas vistosa, en los días 7, 11 y 24 de cada mes, de manera que conecta a la página web legal de la cantante Avril Lavigne (http://www.avril-lavigne.com) y además visualiza varias veces el siguiente texto

"AVRIL_LAVIGNE_LET_GO-MY_MUSE:) 2002 (c) Otto von Gutenberg"

presentando a la vez imágenes de figuras geométricas en varios colores, tapando la parte superior de la pantalla

 

ELIMINACION:

Para la eliminación del virus, hemos creado la utilidad ELILIRVA.EXE, tras cuya ejecución deberá reiniciarse el ordenador y ejecutar el LIMPIA.EXE en sistemas operativos Windows 95, 98 y Me, o el LIMPIANT.BAT en sistemas Windows NT, 2000 o XP, evidentemente con DATS mínimos 4241 y motor 4.1.60.

Es importante que antes de ejecutar cualquier utilidad eliminadora de virus, se desactive el VSHIELD residente, lo cual se logra fácilmente pulsando con el Botón derecho sobre el icono del VSHIELD, dentro de la barra de INICIO, e indicar SALIR.

 

Para descargar las utilidades correspondientes:

 

Pulsar aquí para bajar el ELILIRVA.EXE

Pulsar aquí para bajar el LIMPIA.EXE

Pulsar aquí para bajar el LIMPIANT.BAT

 

NOTA DE ULTIMA HORA:

En el momento de cerrar este informe se nos avisa de la detección de una nueva variante de w32/Lirva que, ademas de las características antes indicadas, variando mensajes, ficheros y asuntos, inserta un BackDoor (Puerta trasera) a través de la cual es posible tomar el control de la máquina infectada y copiar, borrar, modificar, los datos del ordenador víctima:

Se trata de una variante del W32/Lirva, que se propaga masivamente a través de e-mails, IRC, ICQ y KaZaa.

Esta variante se conecta a una web de Kazakistan (se supone que del autor), y descarga el troyano "BackOrifice".


Descarga el archivo: Bo2k.exe, y lo copia en la siguiente carpeta::

C:\Windows\System\Bo2k.exe

Luego crea la siguiente clave de registro::

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SocketListner = C:\Windows\System\Bo2k.exe

Tanto esta clave de registro como el fichero gusano son eliminados al ejecutar nuestra utilidad ELILIRVA.EXE v1.1. o superior.

 

SATINFO, VIRUSCAN SPAIN SERVICE 9 de Enero de 2003

Anterior