W32.Lirva.C@mm

病毒名稱

W32.Lirva.C@mm

病毒簡介

發現： 2003 年 1 月 8 日
更新： 2007 年 2 月 13 日 11:42:39 AM
別名： Win32.Lirva.B 【CA】, W32/Avril-B 【Sophos】, WORM_LIRVA.C 【Trend】, I-Worm.Avron.b 【kav】, W32/Lirva.c@MM 【McAfee】
類型: Worm
感染長度： 34,815 bytes
受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 參考： CVE-2001-0154
由於提交次數的增加，Symantec 安全回響中心自 2003 年 1 月 10 日起，將此威脅的級別從 2 類提升為 3 類。
W32.Lirva.C@mm是一個群發郵件蠕蟲，也通過 IRC、ICQ、KaZaA 和開放的網路共享進行傳播，是 W32.Lirva.A@mm 的變種。該蠕蟲試圖終止防病毒和防火牆產品，還將快取的 Windows 95/98/Me 撥號網路密碼通過電子郵件傳送給病毒的編寫者。
該蠕蟲連線到 web.host.kz/ 網站，然後下載並執行BackOrifice。此外，W32.Lirva.C@mm 還嘗試下載另一個目前該網站上已不存在的檔案。
Microsoft Outlook 收到該蠕蟲後，該蠕蟲就會利用您在讀取或預覽電子郵件時允許自動執行附屬檔案這一漏洞進行破壞。有關此漏洞的信息和修補程式，請訪問：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp。
每月的 7、11 或 24 號，該蠕蟲會啟動您的 Web 瀏覽器並訪問 www.avril-lavigne.com，同時在 Windows 桌面上顯示圖形動畫。
與許多其他蠕蟲一樣，該蠕蟲利用您在讀取或預覽電子郵件時允許自動執行附屬檔案這一漏洞進行破壞。有關此漏洞的信息和修補程式，請訪問：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp。
防護
* 病毒定義（每周 LiveUpdate™） 2003 年 1 月 9 日
* 病毒定義（智慧型更新程式） 2003 年 1 月 8 日
威脅評估
廣度
* 廣度級別： Medium
* 感染數量： More than 1000
* 站點數量： More than 10
* 地理位置分布： High
* 威脅抑制： Easy
* 清除： Moderate
損壞
* 損壞級別： Medium
* 有效負載觸發器： If the day of the month is the 7th, 11th, or 24th
* 有效負載： Opens a website and displays an image on the Windows desktop.
* 大規模傳送電子郵件： Sends email to addresses found by searching the Windows Address Book and files that have the extensions .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .NCH, and .idx.
* 泄露機密信息： Emails cached Windows 95/98/Me dial-up networking passwords to the virus writer. Emails random TXT and DOC files to various email addresses.
* 危及安全設定： Attempts to terminate antivirus and firewall products.
分發
* 分發級別： High
* 電子郵件的主題： Various subject lines
* 附屬檔案名稱： Various attachment names
* 附屬檔案大小： 34,815 bytes
* 共享驅動器： Spreads by IRC, ICQ, KaZaA, and open network shares
執行 W32.Lirva.C 時，該蠕蟲會執行下列操作：
1. 終止具有以下名稱的所有進程（單擊左邊箭頭打開程式列表）：
2. 清點所有視窗並終止視窗標題欄包含以下字元串的任何進程：
o virus
o anti
o McAfee
o Virus
o Anti
o AVP
o Norton
3. 將其自身作為隱藏的系統檔案複製到：
o %Temporary%\<隨機字元串>
o %Temporary%\<隨機字元串>.tft
o %System%\<隨機字元串>.exe
o %All Drives%\Recycled\<隨機字元串>.exe
o %Kazaa Downloads%\<隨機字元串>.exe
4. 使用隨機檔案名稱將其自身複製到各種不同的資料夾中。
5. 在其自身所在的資料夾中創建以下 HTML 檔案：
o Index.html
o Default.html
o Index.htm
o Default.htm
並使用這些檔案執行其先前創建的自身的副本。
6. 將值：
Avril Lavigne - Muse
添加到註冊表鍵：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
這樣，此蠕蟲便可在 Windows 啟動時運行。
如果作業系統為 Windows NT/2000/XP，則此蠕蟲會將其自身註冊為服務。
7. 創建註冊表鍵：
HKEY_LOCAL_MACHINE\Software\OvG\Avril Lavigne
及蠕蟲用於跟蹤其感染過程的各種子鍵。
8. 在 Windows Temporary 資料夾中創建無惡意的文本檔案%Temporary%\Avril-ii.inf 及其他臨時檔案。
9. 檢查計算機當前是否連線到網路。如果未連線，將嘗試使用默認的撥號連線配置檔案進行 撥號。
10. 搜尋 Windows 地址簿及具有下列擴展名的檔案以查找電子郵件地址：.dbx、.mbx、.wab、.html、.eml、.htm、.tbb、.shtml、.nch 和 .idx。然後，傳送具有以下特徵的電子郵件：
o 主題：主題為下列任意一個：
+ Fw: Redirection error notification
+ Re: Brigada Ocho Free membership
+ Re: According to Purge's Statement
+ Fw: Avril Lavigne - CHART ATTACK!
+ Re: Reply on account for IIS-Security Breach (TFTP)
+ Re: ACTR/ACCELS Transcriptions
+ Re: IREX admits you to take in FSAU 2003
+ Fwd: Re: Have U requested Avril Lavigne bio?
+ Re: Reply on account for IFRAME-Security breach
+ Fwd: Re: Reply on account for Incorrect MIME-header
+ Re: Vote seniors masters - don't miss it!
+ Fwd: RFC-0245 Specification requested...
+ Fwd: RFC-0841 Specification requested...
+ Fw: F. M. Dostoyevsky "Crime and Punishment"
+ Re: Junior Achievement
+ Re: Ha perduto qualque cosa Signora?
o 正文：郵件正文為以下任意一個：
+ Network Associates weekly report: Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch.Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately.Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support: Patch: Date
+ Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
+ Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you!Admission form attached below
+ Chart attack active list: Vote fo4r I'm with you!Vote fo4r Sk8er boi!Vote fo4r Complicated!AVRIL LAVIGNE - THE CHART ATTACK!
+ AVRIL LAVIGNE - THE BEST Avril Lavigne's popularity increases:> SO: First, Vote on TRL for I'm With U!Next, Update your pics database!Chart attack active list .>.>
+ Orginal Message:
o 附屬檔案：附屬檔案為下列檔案之一：
+ Resume.exe
+ ADialer.exe
+ MSO-Patch-0071.exe
+ MSO-Patch-0035.exe
+ Two-Up-Secretly.exe
+ Transcripts.exe
+ Readme.exe
+ AvrilSmiles.exe
+ AvrilLavigne.exe
+ Complicated.exe
+ TrickerTape.exe
+ Singles.exe
+ Sophos.exe
+ Cogito_Ergo_Sum.exe
+ CERT-Vuln-Info.exe
+ Sk8erBoi.exe
+ IAmWiThYoU.exe
+ Phantom.exe
+ EntradoDePer.exe
+ SiamoDiTe.exe
+ BioData.exe
+ ALavigne.exe
+ <random>.TXT
+ <random>.DOC
o 發件人：蠕蟲使用受感染計算機的默認 SMTP 伺服器，然後將發件人地址或隨機選擇的電子郵件地址添加到電子郵件的“發件人：”欄位中。
11. 搜尋 %My Documents% 目錄，查找 .TXT 或 .DOC 檔案擴展名，並在傳送的郵件中附加一個具有該擴展名的檔案。
12. 作為電子郵件例程的一部分，該蠕蟲以前會創建臨時檔案%Temporary%\NewBoot.sys，但現在通常會刪除該檔案。
13. 通過確定 ICQ 程式檔案的路徑來搜尋檔案 icqmapi.dll。如果找到此檔案，則將其複製到 \Windows\System 資料夾，並將其自身傳送給ICQ 聯繫人列表中的所有聯繫人。
14. 在 mIRC 程式檔案資料夾中創建 Script.ini 檔案。該檔案將連線到 IRC信道 #avrillavigne，並將其自身傳送給其他加入您所加入的信道的用戶。
15. 清點所有網路資源，搜尋開放的 C 共享。如果找到開放的 C 共享，則將其自身複製到遠程系統的 \Recycled\<隨機字元串>.exe ，並通過添加以下命令行修改該遠程系統的 Autoexec.bat 檔案以在啟動時載入蠕蟲：
@win <random string>.exe
16. 將其自身複製到每個本地硬碟驅動器的 \Recycled\<隨機字元串>.exe，並修改 Autoexec.bat 檔案（添加上述行），使蠕蟲在 Windows 啟動時運行（僅在 Windows 95/98/Me 計算機上）。
17. 使用隨機檔案名稱將其自身複製到 KaZaA 下載資料夾中。
18. 連線到 http:/ /web.host.kz/，下載 BackOrifice（被檢測為BO.Trojan 的變種），將其保存為 %System%\Bo2k.exe，然後在註冊表鍵：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下創建註冊表值：
SocketListner
19. 連線到 http:/ /web.host.kz/，下載目前不可用的未知執行檔，然後將該檔案保存為 %Temporary%\uploaded.tft
20. 每月的 7、11 或 24 號，該蠕蟲會啟動您的 Web 瀏覽器並訪問 www.avril-lavigne.com，同時在 Windows 桌面上顯示圖形動畫。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”：
* 禁用並刪除不需要的服務。 默認情況下，許多作業系統會安裝不必要的輔助服務，如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務，則在套用補丁程式之前，請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公布的安全更新，也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件，這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式，那么訪問受感染的網站也會造成病毒感染。
防毒工具
Symantec 提供了殺除 W32.Lirva.C@mm 的工具。單擊此處可獲得該工具。這是消除此威脅最簡便的方法，應首先嘗試此方法。
手動防毒
以下指導適用於所有當前和最新的 Symantec 防病毒產品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品。
1. 以安全模式重新啟動計算機。
2. 刪除蠕蟲添加到註冊表中的值，然後以正常模式重新啟動。
3. 更新病毒定義。
4. 運行完整的系統掃描，並刪除所有檢測為 W32.Lirva.C@mm 的檔案。有關每個步驟的詳細信息，請閱讀以下指導。
1. 以安全模式重新啟動
以安全模式重新啟動計算機。除 Windows NT 外，所有的 Windows32 位作業系統均可以安全模式重新啟動。有關指導，請參閱文檔：
如何以安全模式啟動計算機。
2. 從註冊表刪除值
Symantec 強烈建議在更改註冊表之前先進行備份。錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。應只修改指定的鍵。有關指導，請參閱文檔：如何備份 Windows 註冊表。
1. 單擊“開始”，然後單擊“運行”。（將出現“運行”對話框。）
2. 鍵入 regedit，然後單擊“確定”。（將打開註冊表編輯器。）
3. 導航至以下鍵：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. 在右窗格中，刪除值：
Avril Lavigne - Muse
5. 退出註冊表編輯器。
6. 重新啟動計算機並讓它以正常模式啟動。
3. 更新病毒定義
Symantec 安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。可以通過兩種方式獲得最新的病毒定義：
* 運行 LiveUpdate，這是獲得病毒定義最簡便的方法。如果未出現重大的病毒爆發情況，這些病毒定義會在 LiveUpdate 伺服器上每周發布一次（一般為星期三）。要確定是否可以通過 LiveUpdate 獲得解決該威脅的病毒定義，請見本說明頂部的病毒定義 (LiveUpdate) 部分。
* 使用“智慧型更新程式”下載病毒定義。“智慧型更新程式”病毒定義會在美國工作日（周一至周五）發布。您應當從 Symantec 安全回響中心網站下載定義並手動安裝它們。要確定是否可以通過智慧型更新程式獲得解決該威脅的病毒定義，請見本說明頂部“防護”部分的病毒定義（智慧型更新程式）。
智慧型更新程式病毒定義可從這裡獲得。若要了解如何從賽門鐵克安全回響中心下載和安裝智慧型更新程式病毒定義，請單擊這裡。
4. 掃描和刪除受感染檔案
a. 啟動 Symantec 防病毒程式，並確保已將其配置為掃描所有檔案。
o Norton AntiVirus 單機版產品：請閱讀文檔：如何配置 Norton AntiVirus 以掃描所有檔案。
o 賽門鐵克企業版防病毒產品：請閱讀 如何確定 Symantec 企業版防病毒產品被設定為掃描所有檔案。
b. 運行完整的系統掃描。
c. 如果有任何檔案被檢測為感染了 W32.Lirva.C@mm，請單擊“刪除”。
描述者： Eric Chien