Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Lirva.C produce los siguientes efectos en el ordenador afectado:
- Finaliza el funcionamiento de numerosos procesos que se encuentren activos y estén relacionados con programas antivirus (entre otros). Los procesos que finaliza son los siguientes:
KPF.EXE, KPFW32.EXE, _AVPM.EXE, AUTODOWN.EXE, AVKSERV.EXE, AVPUPD.EXE, BLACKD.EXE, CFIND.EXE, CLEANER.EXE, ECENGINE.EXE, F-PROT.EXE, FP-WIN.EXE, IAMSERV.EXE, ICLOADNT.EXE, IFACE.EXE, LOOKOUT.EXE, N32SCAN.EXE, NAVW32.EXE, NORMIST.EXE, PADMIN.EXE, PCCWIN98.EXE, RAV7WIN.EXE, SCAN95.EXE, SMC.EXE, TCA.EXE, VETTRAY.EXE, VSSTAT.EXE, ACKWIN32.EXE, AVCONSOL.EXE, AVPNT.EXE, AVPDOS32.EXE, AVSCHED32.EXE, BLACKICE.EXE, EFINET32.EXE, CLEANER3.EXE, ESAFE.EXE, F-PROT95.EXE, FPROT.EXE, IBMASN.EXE, ICMOON.EXE, IOMON98.EXE, LUALL.EXE, NAVAPW32.EXE, NAVWNT.EXE, NUPGRADE.EXE, PAVCL.EXE, PCFWALLICON.EXE, RESCUE.EXE, SCANPM.EXE, SPHINX.EXE, TDS2-98.EXE, VSSCAN40.EXE, WEBSCANX.EXE, WEBSCAN.EXE, ANTI-TROJAN.EXE, AVE32.EXE, AVP.EXE, AVPM.EXE, AVWIN95.EXE, CFIADMIN.EXE, CLAW95.EXE, DVP95.EXE, ESPWATCH.EXE, F-STOPW.EXE, FRW.EXE, IBMAVSP.EXE, ICSUPP95.EXE, JED.EXE, MOOLIVE.EXE, NAVLU32.EXE, NISUM.EXE, NVC95.EXE, NAVSCHED.EXE, PERSFW.EXE, SAFEWEB.EXE, SCRSCAN.EXE, SWEEP95.EXE, TDS2-NT.EXE, VSECOMR.EXE, WFINDV32.EXE, AVPCC.EXE, _AVPCC.EXE, APVXDWIN.EXE, AVGCTRL.EXE, _AVP32.EXE, AVPTC32.EXE, AVWUPD32.EXE, CFIAUDIT.EXE, CLAW95CT.EXE, DV95_O.EXE, DV95.EXE, F-AGNT95.EXE, FINDVIRU.EXE, IAMAPP.EXE, ICLOAD95.EXE, ICSSUPPNT.EXE, LOCKDOWN2000.EXE, MPFTRAY.EXE, NAVNT.EXE, NMAIN.EXE, OUTPOST.EXE, NAVW.EXE, RAV7.EXE, SCAN32.EXE, SERV95.EXE, TBSCAN.EXE, VET95.EXE, VSHWIN32.EXE, ZONEALARM.EXE, AVPMON.EXE and AVP32.EXE. - También busca procesos que contengan las siguientes cadenas de texto y los finaliza: Anti, anti, AVP, McAfee, Norton, virus y Virus.
- Busca contraseñas en los ordenadores afectados y las envía por correo electrónico a una determinada dirección.
Lirva.C se conecta al servidor
web.host.kz/ e intenta
descargar tres archivos:
AVRIL.EXE,
BO2K.EXE y
BO2K_UPX.EXE. Los dos últimos archivos pertenecen al
troyano de tipo
backdoor,
BackOrifice. Sin embargo, estos tres archivos ya no se encuentran disponibles en ese servidor.
Los días 7, 11 y 24 de cada mes,
Lirva.C abre el
navegador de Internet conectándose a la página
http://www.avril-lavigne.com. Posteriormente, aparecen en pantalla una serie de elipses superpuestas que van variando de color y un texto en la esquina superior izquierda de la pantalla que muestra el siguiente mensaje:
AVRIL_LAVIGNE_LET_GO - MY_MUSE:) VOTE FOR I´m With YoU.
Metodo de Infección
Lirva.C crea los siguientes archivos, que son copias del virus:
- Un archivo en el directorio raíz del disco duro con uno de los siguientes nombres:
RESUME.EXE, ADIALER.EXE, MSO-PATCH-0071.EXE, MSO-PATCH-0035.EXE, TWO-UP-SECRETLY.EXE, TRANSCRIPTS.EXE, README.EXE, AVRILSMILES.EXE, AVRILLAVIGNE.EXE, COMPLICATED.EXE, TRICKERTAPE.EXE, SINGLES.EXE, SOPHOS.EXE, COGITO_ERGO_SUM.EXE, CERT-VULN-INFO.EXE, SK8ERBOI.EXE, IAMWITHYOU.EXE, PHANTOM.EXE, ENTRADODEPER.EXE, SIAMODITE.EXE, BIODATA.EXE y ALAVIGNE.EXE. Este archivo es una copia del gusano.
Un archivo en el directorio de sistema de Windows con un nombre aleatorio que siempre tendrá 11 caracteres. Este archivo es una copia del gusano
Inserta tres archivos en el directorio temporal de Windows. Uno de estos archivos tendrá un nombre aleatorio de 8 caracteres y
extensión TFT. Los otros dos ficheros cogen el nombre de la siguiente lista:
RESUME.EXE, ADIALER.EXE, MSO-PATCH-0071.EXE, MSO-PATCH-0035.EXE, TWO-UP-SECRETLY.EXE, TRANSCRIPTS.EXE, README.EXE, AVRILSMILES.EXE, AVRILLAVIGNE.EXE, COMPLICATED.EXE, TRICKERTAPE.EXE, SINGLES.EXE, SOPHOS.EXE, COGITO_ERGO_SUM.EXE, CERT-VULN-INFO.EXE, SK8ERBOI.EXE, IAMWITHYOU.EXE, PHANTOM.EXE, ENTRADODEPER.EXE, SIAMODITE.EXE, BIODATA.EXE y ALAVIGNE.EXE.
Lirva.C modifica el archivo SCRIPT.INI, sólo si el ordenador afectado tiene instalada la aplicación de chat IRC. Con ello, Lirva.C consigue propagarse a través del chat IRC.
Lirva.C crea la siguiente entrada en el Registro de Windows:
Lirva.C produce su infección, automáticamente, de varias formas:
Al visualizar el mensaje de correo electrónico en el que llega a través de la
Vista previa del
programa Outlook. Para conseguirlo, se sirve de una
vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5).
- Al ejecutar el archivo en el que llega.
Método de Propagación
Lirva.C utiliza varios medios para propagarse: e-mail, el programa de intercambio de ficheros punto a punto (P2P) KaZaA, las aplicaciones de chat IRC y ICQ y mediante unidades compartidas.
1. Propagación a través del correo electrónico.
Lirva.C lleva a cabo la siguiente rutina:
Llega al ordenador en un mensaje escrito en inglés de características variables:
Asunto: uno de los siguientes:
Fw: Avril Lavigne - CHART ATTACK!
Fw: F. M. Dostoyevsky "Crime and Punishment"
Fw: Redirection error notification
Fwd: Re: Have U requested Avril Lavigne bio?
Fwd: Re: Reply on account for Incorrect MIME-header
Fwd: RFC-0245 Specification requested...
Fwd: RFC-0841 Specification requested...
Re: According to Purge's Statement
Re: ACTR/ACCELS Transcriptions
Re: Brigada Ocho Free membership
Re: Ha perduto qualque cosa signora?
Re: IREX admits you to take in FSAU 2003
Re: Junior Achievement
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security Breach (TFTP)
Re: Vote seniors masters - don't miss it!
- Contenido: uno de los siguientes:
Network Associates weekly report: Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support: Patch: Date
Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below
Chart attack active list: Vote fo4r I'm with you! Vote fo4r Sk8er Boi!Vote fo4r Complicated!AVRIL LAVIGNE - THE CHART ATTACK!
AVRIL LAVIGNE - THE BEST Avril Lavigne's popularity increases:> SO: First, Vote on TRL for I'm With U! Next, Update your pics database! Chart attack active list. Archivo adjunto: uno de los siguientes:
ADIALER.EXE
ALAVIGNE.EXE
AVRILLAVIGNE.EXE
AVRILSMILES.EXE
BIODATA.EXE
CERT-VULN-INFO.EXE
COGITO_ERGO_SUM.EXE
COMPLICATED.EXE
ENTRADODEPER.EXE
IAMWITHYOU.EXE
MSO-PATCH-0035.EXE
MSO-PATCH-0071.EXE
PHANTOM.EXE
README.EXE
RESUME.EXE
SIAMODITE.EXE
SINGLES.EXE
SK8ERBOI.EXE
SOPHOS.EXE
TRANSCRIPTS.EXE
TRICKERTAPE.EXE
TWO-UP-SECRETLY.EXE
El archivo adjunto también puede ser un archivo aleatorio con extensión DOC o TXT.
El ordenador quedará afectado cuando se ejecute el archivo adjunto.
Lirva.C busca direcciones de correo a las que enviarse con las siguientes extensiones: DBX, EML, HTM, HTML, IDX, MBX, NCH, SHTML, TBB, y WAB.
Lirva.C se envía a las direcciones recopiladas y a todos los contactos de la
Libreta de direcciones de Outlook.
2. Propagación a través del programa KaZaA.
Lirva.C lleva a cabo la siguiente rutina:
3. Propagación a través de ICQ.
Lirva.C lleva a cabo la siguiente rutina:
- Busca el archivo ICQMAPI.DLL y lo copia en el directorio de sistema de Windows.
- Se envía a sí mismo a la lista de contactos de ICQ.
4. Propagación a través de unidades de red compartidas.
Lirva.C lleva a cabo la siguiente rutina:
Otros Detalles
Lirva.C está escrito en el lenguaje de programación MS Visual C++, versión 6.0. Este gusano tiene un tamaño de 34815 Bytes cuando está comprimido con UPX y de 81920 Bytes una vez descomprimido.