W32/Lirva (Avril, Naith)

Liest man es rückwärts, heisst "Lirva" eigentlich "Avril", was dem Vornamen der kanadischen Pop-Sängerin Avril Lavigne entspricht. Der Wurm mit dem Namen Lirva verbreitet sich via E-Mail, ICQ, IRC, KaZaA und ungeschützte Netzwerkfreigaben. Andere Antivirus-Hersteller nennen ihn etwa Avron oder Naith.

Wird der Wurm ausgeführt, versucht er zunächst, alle laufenden Prozesse und Programme zu beenden, die zu einer Antiviren- oder Firewall-Software gehören könnten.

Für die Verbreitung über E-Mail durchsucht Lirva auf der Festplatte des infizierten PCs den Outlook-Posteingang, die gesendeten Mails und alle Dateien mit den Endungen .dbx, .eml, .htm, .html, .idx, .mbx, .nch, .shtml, .tbb und .wab nach E-Mail-Adressen.

Die Mails, mit denen er sich an die gefundenen Adressen verschickt, tragen eine dieser Betreff-Zeilen:

Fw: Avril Lavigne - the best

Fw: Prohibited customers...

Fwd: Re: Admission procedure

Fwd: Re: Reply on account for Incorrect MIME-header

Re: According to Daos Summit

Re: ACTR/ACCELS Transcriptions

Re: Brigade Ocho Free membership

Re: Reply on account for IFRAME-Security breach

Re: Reply on account for IIS-Security

Re: The real estate plunger

Für die Wurm-Beilage konnten bisher folgende Dateinamen ausgemacht werden:

AvrilLavigne.exe

AvrilSmiles.exe

CERT-Vuln-Info.exe

Cogito_Ergo_Sum.exe

Complicated.exe

Download.exe

IAmWiThYoU.exe

MSO-Patch-0035.exe

MSO-Patch-0071.exe

Readme.exe

Resume.exe

Singles.exe

Sk8erBoi.exe

Sophos.exe

Transcripts.exe

Two-Up-Secretly.exe

In den Mails wurde in den bisher bekannten Varianten von Fall zu Fall einer dieser Texte gelesen:

Beispiel 1:

Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:

Beispiel 2:

Restricted area response team (RART) Attachment you sent to is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch

Beispiel 3:

Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below

Beispiel 4:

Patch is also provided to subscribed list of Microsoft Tech Support: to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so and do not need to take additional action. Customers who have applied that patch are already protected against the vulnerability that is eliminated by a previously-released patch. Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0.

Beispiel 5:

Admission form attached below. Vote for I'm with you! FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Avril fans subscription.

Der Lirva-Wurm bedient sich bei manchen dieser Mails einer bekannten Sicherheitslücke. Diese kann bewirken, dass sich die Beilage einer solchen Wurm-Mail schon beim Lesen der Mail automatisch ausführt, ohne dass der Benutzer die Datei zu öffnen braucht. Wir empfehlen, mindestens den Internet Explorer 5.5 SP2 zu verwenden und auch für diesen via Extras/Windows-Update alle verfügbaren wichtigen Updates zu installieren.

Ausser per Mail verbreitet sich der Wurm auch via ICQ, indem er sich an alle ICQ-Kontakte schickt, die in der Kontakt-Liste des infizierten PCs stehen. Und bei der Verbreitung über IRC versucht Lirva sich an alle Benutzer zu senden, die sich im gleichen Channel (Chat-Kanal) wie der Inhaber des infizierten PCs befinden.

Nach dem Start des Wurms wird unter bestimmten Bedingungen ein Browserfenster mit der Webseite von Avril Lavigne geöffnet, meist begleitet farbigen Ovalen auf dem Desktop, die sich nicht wegklicken lassen (Bild siehe z.B. bei McAfee [1]).

Der Wurm kopiert sich mit einem beliebigen Dateinamen und der Endung EXE in den System- oder System32-Ordner (z.B. unter C:\Windows\System32\). Diese Datei trägt der Wurm in der Windows Registry ein, damit er bei jedem Windows-Start ausgeführt wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Der Eintrag lautet: Avril Lavigne - Muse = (Ort und Name der Datei)

Der Wurm erstellt einen weiteren Eintrag in der Registry:

HKEY_LOCAL_MACHINE\Software\HKLM\Software\OvG\Avril Lavigne

Der Wurm legt im TEMP-Ordner und im Papierkorb-Ordner (Recycle) noch weitere Wurm-Exemplare ab. Mindestens eine der im Papierkorb abgelegten Dateien versucht der Wurm in die Datei C:\AUTOEXEC.BAT einzutragen, sofern auf dem PC eine solche Datei existiert.

Eine weitere Datei namens avril-ii.inf wird im Temp-Ordner erstellt, die aber kein Programmcode enthält, sondern reinen (harmlosen) Text.

Als Schadensfunktion versucht er auf dem PC Passwörter auszuschnüffeln und mailt diese an eine Adresse, die vermutlich dem Virenprogrammierer gehört.

Die Antivirus-Hersteller sollten mittlerweile Updates bereithalten, mit denen Ihr Virenscanner den neuen Wurm erkennt. Besitzer befallener PCs öffnen per Rechtsklick und "Bearbeiten" die Datei C:\AUTOEXEC.BAT (falls vorhanden) und entfernen die Zeilen, die auf den Recycled-Ordner hinweisen. Zudem muss der Eintrag "Avril Lavigne - Muse" aus diesem Registry-Zweig entfernt werden:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Weitere Informationen zum Wurm W32/Lirva finden Sie zum Beispiel bei F-Secure [2], Sophos [3], Messagelabs [4] und Symantec [5]. Neuere Varianten des Avril-Wurms verbreiten sich offenbar noch schneller als die bisher bekannte [6].

Auf dem FTP-Server von Kaspersky [7] finden Sie jetzt eine neue Version des kleinen Programms CLRAV.COM. Dieses kann jetzt auch den Lirva-Wurm aus einem System entfernen. Kaspersky kennt diesen Wurm unter dem Namen Avron.