Associates mcafee advertising
На главную Продукты Тесты Загрузить Лицензирование Поддержка Статьи Контакты Поиск
Отправить зараженный файл Обновить DAT-файлы

Virus Library FreeScan
WebImmune WebImmune
Virus Library Virus Library
AVERT Virus News AVERT Virus News


  • Последние новости

    Подписка на новости




  • Архив новостей

  • Ваши отзывы о сайте

    • Новости

    10.01.2003 McAfee присваивает вирусу W32/Lirva.a@MM средний уровень риска

    Характеристика вируса

    AVERT, антивирусное исследовательское подразделение McAfee Security, повыcило уровень риска вируса W32/Lirva.a@MM до среднего. Данный вирус является червем массовой почтовой рассылки, а также распространяется через ICQ, IRC, KaZaa. Вирус содержит компоненту для кражи паролей с компьютера пользователя.

    Червь пытается остановить и выгрузить программное обеспечение, осуществляющее контроль за безопасностью системы, распространяется через ICQ и создает IRC-бот.

    Распространение по e-mail

    Вирус осуществляет поиск адресов в папках "Sent Items" и "Inbox" почтового клиента Outlook. Также просматривает адресную книгу Windows (WAB) и локальные файлы со следующими расширениями:

    • .DBX
    • .EML
    • .HTM
    • .HTML
    • .IDX
    • .MBX
    • .NCH
    • .SHTML
    • .TBB
    • .WAB

    Тема письма

    Тело письма выбирается случайным образом из следующего списка:

    • Fw: Avril Lavigne - the best
    • Fw: Prohibited customers...
    • Fwd: Re: Admission procedure
    • Fwd: Re: Reply on account for Incorrect MIME-header
    • Re: According to Daos Summit
    • Re: ACTR/ACCELS Transcriptions
    • Re: Brigade Ocho Free membership
    • Re: Reply on account for IFRAME-Security breach
    • Re: Reply on account for IIS-Security
    • Re: The real estate plunger

    Файловые вложения

    Файловое вложение может иметь одно из следующих имен:

    • AvrilLavigne.exe
    • AvrilSmiles.exe
    • CERT-Vuln-Info.exe
    • Cogito_Ergo_Sum.exe
    • Complicated.exe
    • Download.exe
    • IAmWiThYoU.exe
    • MSO-Patch-0035.exe
    • MSO-Patch-0071.exe
    • Readme.exe
    • Resume.exe
    • Singles.exe
    • Sk8erBoi.exe
    • Sophos.exe
    • Transcripts.exe
    • Two-Up-Secretly.exe

    Тело письма

    Restricted area response team (RART)
    ___________________________________
    Attachment you send to USERNAME is intended to overwrite start address at 0000:HH4F
    To prevent from the further buffer overflow attacks apply the MSO-patch.
    ___________________________________

    или

    Patch is also provided to subscribed list of Microsoft Tech Support: to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so and do not need to take additional action. Customers who have applied that patch are already protected against the vulnerability that is eliminated by a previously-released patch. Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0.

    или

    Admission form attached below. Vote for I'm with you! FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Avril fans subscription

    Примечание: Последняя модификация червя использует уязвимость в MIME, что приводит к автоматическому запуску вложения на уязвимых системах.
    Письма с использованием данной уязвимости обнаруживаются как «Exploit-MIME.gen» с версии 4172DAT (Ноябрь 2001). Более подробная информация об уязвимости доступна здесь.

    Пример:

    Распространение через ICQ

    Червь пытается отправить свою копию всем пользователям в контакт-листе ICQ. Имя файла выбирается из того же списка, что и для вложения e-mail. (см. выше)

    Распространение через mIRC

    Червь пытается отправить свою копию всем пользователям, подключающимся к тому же каналу, что и пользователь зараженного компьютера. После того как IRC-клиент входит в сеть, он автоматически подключается к каналу #avrillavigne.

    Выгрузка программ обеспечения безопасности

    Вирус пытается завершить выполнение в памяти процессов со следующими именами:

    • _AVP32.EXE
    • _AVPCC.EXE
    • _AVPM.EXE
    • ACKWIN32.EXE
    • ANTI-TROJAN.EXE
    • APVXDWIN.EXE
    • AUTODOWN.EXE
    • AVCONSOL.EXE
    • AVE32.EXE
    • AVGCTRL.EXE
    • AVKSERV.EXE
    • AVP.EXE
    • AVP32.EXE
    • AVPCC.EXE
    • AVPDOS32.EXE
    • AVPM.EXE
    • AVPMON.EXE
    • AVPNT.EXE
    • AVPTC32.EXE
    • AVPUPD.EXE
    • AVSCHED32.EXE
    • AVWIN95.EXE
    • AVWUPD32.EXE
    • BLACKD.EXE
    • BLACKICE.EXE
    • CFIADMIN.EXE
    • CFIAUDIT.EXE
    • CFIND.EXE
    • CLAW95.EXE
    • CLAW95CT.EXE
    • CLEANER.EXE
    • CLEANER3.EXE
    • DV95.EXE
    • DV95_O.EXE
    • DVP95.EXE
    • ECENGINE.EXE
    • EFINET32.EXE
    • ESAFE.EXE
    • ESPWATCH.EXE
    • F-AGNT95.EXE
    • FINDVIRU.EXE
    • FPROT.EXE
    • F-PROT.EXE
    • F-PROT95.EXE
    • FP-WIN.EXE
    • FRW.EXE
    • F-STOPW.EXE
    • IAMAPP.EXE
    • IAMSERV.EXE
    • IBMASN.EXE
    • IBMAVSP.EXE
    • ICLOAD95.EXE
    • ICLOADNT.EXE
    • ICMOON.EXE
    • ICSSUPPNT.EXE
    • ICSUPP95.EXE
    • IFACE.EXE
    • IOMON98.EXE
    • JED.EXE
    • KPF.EXE
    • KPFW32.EXE
    • LOCKDOWN2000.EXE
    • LOOKOUT.EXE
    • LUALL.EXE
    • MOOLIVE.EXE
    • MPFTRAY.EXE
    • N32SCAN.EXE
    • NAVAPW32.EXE
    • NAVLU32.EXE
    • NAVNT.EXE
    • NAVSCHED.EXE
    • NAVW.EXE
    • NAVW32.EXE
    • NAVWNT.EXE
    • NISUM.EXE
    • NMAIN.EXE
    • NORMIST.EXE
    • NUPGRADE.EXE
    • NVC95.EXE
    • OUTPOST.EXE
    • PADMIN.EXE
    • PAVCL.EXE
    • PCCWIN98.EXE
    • PCFWALLICON.EXE
    • PERSFW.EXE
    • RAV7.EXE
    • RAV7WIN.EXE
    • RESCUE.EXE
    • SAFEWEB.EXE
    • SCAN32.EXE
    • SCAN95.EXE
    • SCANPM.EXE
    • SCRSCAN.EXE
    • SERV95.EXE
    • SMC.EXE
    • SPHINX.EXE
    • SWEEP95.EXE
    • TBSCAN.EXE
    • TCA.EXE
    • TDS2-98.EXE
    • TDS2-NT.EXE
    • VET95.EXE
    • VETTRAY.EXE
    • VSECOMR.EXE
    • VSHWIN32.EXE
    • VSSCAN40.EXE
    • VSSTAT.EXE
    • WEBSCAN.EXE
    • WEBSCANX.EXE
    • WFINDV32.EXE
    • ZONEALARM.EXE

    Вирус постоянно отслеживает заголовки всех окон и закрывает содержащие любую из следующих строк:

    • anti
    • Anti
    • AVP
    • McAfee
    • Norton
    • virus
    • Virus

    Изменения, вносимые в систему

    Червь сохраняет свою копию в каталоге %WINDIR%\SYSTEM32 под случайно сгенерированным именем. (Пример: A33AAAAgbab.EXE)

    Создается ключ в реестре для автоматического запуска при загрузке системы:

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
      Run "Avril Lavigne - Muse" = C:\WINDOWS\SYSTEM\A33AAAAgbab.EXE
    Также создается дополнительный ключ для индикации зараженности системы:
    • HKEY_LOCAL_MACHINE\Software\HKLM\Software\OvG\Avril Lavigne
    Вирус создает свои копии под одним из имен, перечисленных в разделе описания распространения по e-mail, в следующих каталогах:

    C:\
    %WINDIR%\TEMP

    Червь также размещает 4 своих копии в каталоге RECYCLED и добавляет вызов в файл AUTOEXEC.BAT
    Пример: @win \RECYCLED\FF177Fe6.exe

    Файл с названием «avril-ii.inf» помещается в каталог %WINDIR%\TEMP; это текстовый файл, содержащий послание от автора.

    Дополнительные действия

    Червь пытается извлечь кэшированные пароли с зараженной машины и отправить их автору через встроенный SMTP-механизм, используя открытый SMTP-сервер (62.118.249.10).

    Симптомы заражения

    После запуска червя на выполнение он отрывает в браузере страницу Avril Lavigne (http://www.avril-lavigne.com). В левом верхнем углу экрана выводится ткстовое сообщение:

    AVRIL_LAVIGNE_LET_GO-MY_MUSE:) 2002 (c) [name of the author]

    Вирус рисует на переднем плане экрана цветные геометрические фигуры.

    Дополнительные симптомы:

    • Наличие в реестре описанных выше ключей.
    • Наличие файлов, также описанных выше.
    • Размножение по EMail
    • Размножение по IRC
    • Размножение по ICQ
    • Сетевой трафик на SMTP-сервер (62.118.249.10 порт 25 TCP)

    Метод заражения

    Вирус появляется через электронную почту, отсылается пользователям IRC или ICQ, может распространяться через KaZaa. Из реестра извлекается адрес SMTP-сервера, заданного по умолчанию в настройках Internet Account Manager или OMI Account Manager. Данный SMTP-сервер затем используется для выполнения задачи массовой почтовой рассылки.

    Удаление вируса

    Доступны следующие EXTRA.DAT пакеты:
    EXTRA.DAT
    SUPER EXTRA.DAT

    Минимальные DAT-файлы: 4241
    Минимальный сканирующий механизм:4.1.60

    Будучи зараженным, VirusScan может не получить возможности запустить процесс сканирования и лечения, так как вирус может завершать данные процессы.

    Это может создать трудности для пользователей при удалении вируса. Поэтому AVERT предлагает специальную бесплатную утилиту для борьбы с вирусом.

    В качестве альтернативного варианта можно выполнить описанные ниже шаги, что позволит удалить вирус, используя VirusScan из командной строки.
    • Убедитесь, что версии DAT-файлов соответствуют минимально требуемым
    • Закройте все выполняющиеся приложения
    • Отключите систему от локальной сети
    • Нажмите START | RUN, введите command и нажмите ENTER
    • Перейдите в каталог сканирующего механизма VirusScan:
      -Win9x/ME - Введите cd \progra~1\common~1\networ~1\viruss~1\40~1.xx и нажмите ENTER
      WinNT/2K/XP - Введите cd \progra~1\common~1\networ~1\viruss~1\4.0.xx и нажмите ENTER
    • Введите scan.exe /adl /clean и нажмите ENTER
    • После завершения сканирования и удаления вируса, перезагрузите систему и подключитесь к локальной сети

    Возможные названия

    I-Worm.Avron (AVP)
    Naith
    W32.Lirva.A@mm (Symantec)
    W32/Avril-A (Sophos)
    W32/Avril.gen@MM
    W32/Lirva@MM
    Worm/Naith.A (CA)
    WORM_LIRVA.A (Trend)


    Copyright © 2004 Associates. All rights reserved.
    Телефон: (495) 730-74-76
    E-mail: getinfo@associates.ru    		Правовые аспекты | Legal notices