Lirva
PeligrosidadDañoPropagación

Efectos 

Lirva realiza las siguientes acciones:

• Finaliza los siguientes procesos, pertenecientes a programas antivirus y cortafuegos, entre otros:
  
  _AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, ACKWIN32.EXE, ANTI-TROJAN.EXE, APVXDWIN.EXE, AUTODOWN.EXE, AVCONSOL.EXE, AVE32.EXE, AVGCTRL.EXE, AVKSERV.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE, AVPM.EXE, AVPMON.EXE, VPNT.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVWIN95.EXE, AVWUPD32.EXE, BLACKD.EXE, BLACKICE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFIND.EXE, CLAW95.EXE, CLAW95CT.EXE, CLEANER.EXE, CLEANER3.EXE, DV95.EXE, DV95_O.EXE, DVP95.EXE, ECENGINE.EXE, EFINET32.EXE, ESAFE.EXE, ESPWATCH.EXE, F-AGNT95.EXE, FINDVIRU.EXE, FPROT.EXE, F-PROT.EXE, F-PROT95.EXE, FP-WIN.EXE, FRW.EXE, F-STOPW.EXE, IAMAPP.EXE, IAMSERV.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMOON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, IFACE.EXE, IOMON98.EXE, JED.EXE, KPF.EXE, KPFW32.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LUALL.EXE, MOOLIVE.EXE, MPFTRAY.EXE, N32SCAN.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVSCHED.EXE, NAVW.EXE, NAVW32.EXE, NAVWNT.EXE, NISUM.EXE, NMAIN.EXE, NORMIST.EXE, NUPGRADE.EXE, NVC95.EXE, OUTPOST.EXE, PADMIN.EXE, PAVCL.EXE, PCCWIN98.EXE, PCFWALLICON.EXE, PERSFW.EXE, RAV7.EXE, RAV7WIN.EXE, RESCUE.EXE, SAFEWEB.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SERV95.EXE, SMC.EXE, SPHINX.EXE, SWEEP95.EXE, TBSCAN.EXE, TCA.EXE, TDS2-98.EXE, TDS2-NT.EXE, VET95.EXE, VETTRAY.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSSCAN40.EXE, VSSTAT.EXE, WEBSCAN.EXE, WEBSCANX.EXE, WFINDV32.EXE y ZONEALARM.EXE.
  
  Esto deja al ordenador afectado vulnerable frente al ataque de otros malware.
• Del mismo modo, también termina los procesos que contengan cualquiera de las siguientes cadenas de texto:
  Anti, anti, AVP, McAfee, Norton, virus y Virus.
• Realiza una búsqueda de contraseñas en el ordenador afectado, y envía a través de correo electrónico las que ha conseguido recoger.
• Los días 7, 11 y 24 de cada mes abre el navegador de Internet conectándose a la página:
  http://www.avril-lavigne.com
  
  Posteriormente, aparecen en pantalla una serie de elipses superpuestas que van variando de color y un texto en la esquina superior izquierda de la pantalla que muestra el siguiente mensaje:
  
  AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg

Metodo de Infección 

Lirva crea los siguientes archivos, que son copias de sí mismo:

• MSO-PATCH-0035.EXE en el directorio raíz del disco duro.
• COGITO_ERGO_SUM.EXE y CERT-VULN-INFO.EXE en el directorio temporal de Windows.
• Un archivo con nombre aleatorio en el directorio temporal de Windows.
• Un archivo con nombre aleatorio en el directorio de sistema de Windows.

Lirva también crea los siguientes archivos:

• LISTRECP.DLL en el directorio de Windows. Este archivo es una DLL (Librería de Enlace Dinámico).
• AVRIL-II.INF en el directorio temporal de Windows.

Lirva modifica el archivo SCRIPT.INI, sólo si el ordenador afectado tiene instalada la aplicación de chat IRC. Con ello, Lirva consigue propagarse a través del chat IRC.

Lirva crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Avril Lavigne - Muse = %sysdir%\ %archivo%.exe
  donde %sysdir% es el directorio de sistema de Windows, y %archivo% es el nombre aleatorio de la copia del gusano creada en dicho directorio.
  Mediante esta entrada, Lirva consigue ejecutarse cada vez que Windows se inicia.

• HKEY_LOCAL_MACHINE\ Software\ OvG\ Avril Lavigne
  Done
  Lirva utiliza esta entrada como marca de infección, para comprobar si el ordenador ha sido afectado anteriormente.

Método de Propagación 

Lirva se propaga a través del correo electrónico, el programa de intercambio de archivos punto a punto (P2P) KaZaA, los programas de chat IRC e ICQ y las unidades de red compartidas.

1.- Propagación a través del correo electrónico.

Lirva realiza el siguiente proceso:

• Llega al ordenador en un mensaje de características variables escrito en inglés:
  
  Asunto: es variable, y puede ser uno de los siguientes:
  Fw: Avril Lavigne - the best
  Fw: Prohibited customers...
  Fwd: Re: Admission procedure
  Fwd: Re: Reply on account for Incorrect MIME-header
  Re: According to Daos Summit
  Re: ACTR/ACCELS Transcriptions
  Re: Brigade Ocho Free membership
  Re: Reply on account for IFRAME-Security breach
  Re: Reply on account for IIS-Security
  Re: The real estate plunger
• Contenido: es variable, y puede ser uno de los siguientes:
  To prevent from the further buffer overflow attacks apply the MSO-patch Attachment you sent to <dirección del remitente> is intended to overwrite start address at 0000:HH4F Restricted area response team (RART)
  
  Patch is also provided to subscribed list of Microsoft® Tech Support: to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so and do not need to take additional action. Customers who have applied that patch are already protected against the vulnerability that is eliminated by a previously-released patch. Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0
  
  Admission form attached below
  Vote for I'm with you!
  FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony
  Avril fans subscription
• Archivo adjunto: será uno de los siguientes:
  AVRILLAVIGNE.EXE
  AVRILSMILES.EXE
  CERT-VULN-INFO.EXE
  COGITO_ERGO_SUM.EXE
  COMPLICATED.EXE
  DOWNLOAD.EXE
  IAMWITHYOU.EXE
  MSO-PATCH-0035.EXE
  MSO-PATCH-0071.EXE
  README.EXE
  RESUME.EXE
  SINGLES.EXE
  SK8ERBOI.EXE
  SOPHOS.EXE
  TRANSCRIPTS.EXE
  TWO-UP-SECRETLY.EXE
• Se activa automáticamente tan sólo con visualizar el mensaje a través de la Vista previa de Outlook. Para conseguirlo, aprovecha una vulnerabilidad de Internet Explorer que permite la ejecución automática de los archivos de los mensajes de correo. Dicha vulnerabilidad se denomina Exploit/Iframe.
• Lirva busca direcciones de correo electrónico en todos los archivos que tengan alguna de las siguientes extensiones: MBX, WAB, HTML, EML, HTM, TBB, SHTML, NCH y IDX.
• Lirva envía una copia de sí mismo a todas las direcciones que ha recogido, así como a todos los contactos que aparezcan en la Libreta de direcciones de Outlook.

2.- Propagación a través de KaZaA.

Lirva realiza el siguiente proceso:

• Crea una copia de sí mismo con un nombre aleatorio en el directorio compartido de KaZaA.
• Otros usuarios de este programa podrán acceder de manera remota al directorio compartido. Así, se descargarán voluntariamente en su ordenador el archivo creado por Lirva, pensando que se trata de alguna aplicación informática interesante. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
• Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Lirva.

3.- Propagación a través de IRC e ICQ.

Lirva realiza el siguiente proceso:

• Lirva busca el archivo ICQMAPI.DLL y, si existe, realiza una copia del mismo en el directorio de sistema de Windows.
• Seguidamente, envía una copia de sí mismo a toda la lista de contactos del programa ICQ.
• Además, cuando el usuario se conecta a un canal del chat IRC, Lirva envía una copia de sí mismo a todas las personas conectadas a dicho canal en ese momento.

4.- Propagación a través de unidades de red compartidas.

Lirva realiza el siguiente proceso para propagarse a través de una red:

• Si el ordenador afectado pertenece a una red, Lirva crea una copia de sí mismo, con un nombre aleatorio, en la Papelera de reciclaje de todas las unidades de red mapeadas.
• Acto seguido, Lirva modifica el archivo AUTOEXEC.BAT, añadiendo la siguiente línea:
  @win %archivo%.exe
  donde %archivo% es el nombre aleatorio del archivo creado anteriormente.
• De este modo, Lirva consigue ejecutarse y afectar al ordenador remoto la próxima vez que éste sea reiniciado.

Otros Detalles  

Lirva está escrito en el lenguaje de programación Visual C++ v6.0. Este gusano tiene un tamaño de 32766 Bytes cuando está comprimido con UPX, y 77824 Bytes una vez descomprimido.