Lirva, un worm di tipo mass-mailing, è in grado di utilizzare diversi meccanismi per replicarsi. Oltre alla posta elettronica, infatti, è in grado di sfruttare ICQ, Kazaa, mIRC e di diffondersi attraverso le risorse condivise di Windows.Il worm Lirva, inoltre, e' in grado di disabilitare diversi software antivirus e altri software di sicurezza.
Il worm, una volta attivatosi, cerca di appropriarsi delle password e le invia ad un indirizzo di posta esterno.

Tool di Disinfezione

F-Secure ha sviluppato uno speciale tool per la rimozione del worm Lirva. Il tool puo essere scaricato da:

ftp://ftp.europe.f-secure.com/anti-virus/tools/lirvtool.zip

La documentazione per l'utilizzo del tool è reperibile all'indirizzo:

ftp://ftp.europe.f-secure.com/anti-virus/tools/lirvtool.txt

Descrizione Dettagliata

Il worm e' stato scritto in C++ ed e' compresso con UPX; una volta scompattato le dimensioni del file passano a circa 100 Kb

Diffusione tramite e-mail

I file da cui il worm reperisce gli indirizzi di posta elettronica a cui spedirsi sono i seguenti:

.DBX .MBX .WAB .HTML .EML .HTM .TBB .SHTML .NCH .IDX

L'email con cui questo worm si diffonde e' formattata come pagina HTML contenente la vulnerabilita' Exploit IFrame che consente, semplicemente aprendo l'email, di eseguire in automatico l'allegato.

Il subject, il corpo della mail ed il nome del allegato vengono generati in modo casuale utilizzando una lista predefinita.

Soggetto:

'Fw: Prohibited customers...'
'Re: Brigade Ocho Free membership'
'Re: According to Daos Summit'
'Fw: Avril Lavigne - the best'
'Re: Reply on account for IIS-Security'
'Re: ACTR/ACCELS Transcriptions'
'Re: The real estate plunger'
'Fwd: Re: Admission procedure'
'Re: Reply on account for IFRAME-Security breach'
'Fwd: Re: Reply on account for Incorrect MIME-header'

Messaggio:

'Restricted area response team (RART)

Attachment you sent to %s is intended to overwrite start address at 0000:HH4F%s
To prevent from the further buffer overflow attacks apply the MSO-patch %s'

oppure

'Avril fans subscription

FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony
Vote for I'm with you!

Admission form attached below'

oppure

'Microsoft has identified a security vulnerability in Microsoft(r); IIS 4.0
and 5.0 that is eliminated by a previously-released patch.

Customers who have applied that patch are already protected against the
vulnerability and do not need to take additional action.

Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not
already done so to apply the patch immediately.

Patch is also provided to subscribed list of Microsoft(r) Tech Support:'

I nomi degli attachment infetti sono i seguenti:

'Resume.exe'
'Download.exe'
'MSO-Patch-0071.exe'
'MSO-Patch-0035.exe'
'Two-Up-Secretly.exe'
'Transcripts.exe'
'Readme.exe'
'AvrilSmiles.exe'
'AvrilLavigne.exe'
'Complicated.exe'
'Singles.exe'
'Sophos.exe'
'Cogito_Ergo_Sum.exe'
'CERT-Vuln-Info.exe'
'Sk8erBoi.exe'
'IAmWiThYoU.exe'

Diffusione attraverso Reti locali

Lirva e' in grado di doffondersi attraverso le risorse condivise di una rete Windows. Il worm prova a copiare se stesso nella directory 'recycled' di un PC remoto utilizzando un nome casuale. Se l'operazione di copia fallisce, il worm prova a copiare se stesso nella directory radice delle condivisioni remote. Se una di queste due operazioni viene eseguita correttamente Lirva aggiunge la seguente stringa al file 'autoexec.bat' sul PC remoto infettato:

'@win \recycled\[random_name].exe'

oppure

'@win [random_name].exe'

Se il sistema remoto ha come sistema operativo Windows 95/98/Me il worm si esegue automaticamente all'avvio del computer. I sistemi operativi Windows NT, 2000 and XP non sono vulnerabili al worm.

Diffusione attraverso reti Peer-to-peer

Se il worm Lirva trova un client Kazaa sul PC infetto prova a copiare se stesso all'interno della directory condivisa utilizzata da Kazaa. Il nome del file utilizzato e' casuale e viene preso dallo stesso insieme di nomi utilizzati per gli attachment infetti. In questo modo il virus e' in grado di essere prelevato da qualunque utente della rete Kazaa ed eseguito riuscendo così ad infettare altre macchine.

Diffusione attraverso Internet Relay Chat

Se sul PC infetto è presente mIRC (uno dei più conosciuti client IRC in ambiente Windows), il worm Lirva ne modifica il file di configurazione. Dopo la modifica il file infetto del worm e' disponibile al download da parte di altri utenti che si connettono al canale della chat.

Altre modifiche fatte al file di configurazione connettono il client al canale '#avrillavigne'.

Diffusione attraverso reti ICQ

Quando eseguito, il worm Lirva cerca il file 'ICQMAPI.DLL' nella directory di installazione di ICQ. Se questo file e' disponibile lo copia nella directory di sistema di Windows ed esegue la DLL. . Questa DLL consente l'accesso al client ICQ. In questo modo il worm riesce a stabilire una connessione attraverso ICQ e prova ad inviarsi a tutti i contatti presenti nella lista.

Metodi di infezione

Il worm copia se stesso nella directory di Sistema di Windows e aggiunge una voce nel registro di configurazione di sistema per eseguirsi all'avvio:

'HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Avril Lavigne - Muse'

Anche le seguenti voci sono aggiunte al registro:

'HKLM\Software\OvG\Avril Lavigne'

Cattura delle password

Il Lirva ha funzionalità di "password stealing". Se il computer e' connesso ad Internet, il worm memorizza tutte le password digitate durante la connessione dall'utente e le invia ad un indirizzo di posta esterno. Lirva utilizza due indirizzi di posta e di volta in volta in maniera casuale sceglie a chi inviare le password.

Disattivazione dei software di sicurezza

Dopo aver infettato un PC, il worm Lirva tenta di disattivare i software antivirus e altri software di sicurezza. Il worm ricerca periodicamente la presenza dei seguenti processi e tenta di terminarli:

'AVP32.EXE'
'AVPMON.EXE'
'ZONEALARM.EXE'
'VSHWIN32.EXE'
'VET95.EXE'
'TBSCAN.EXE'
'SERV95.EXE'
'SCAN32.EXE'
'RAV7.EXE'
'NAVW.EXE'
'OUTPOST.EXE'
'NMAIN.EXE'
'NAVNT.EXE'
'MPFTRAY.EXE'
'LOCKDOWN2000.EXE'
'ICSSUPPNT.EXE'
'ICLOAD95.EXE'
'IAMAPP.EXE'
'FINDVIRU.EXE'
'F-AGNT95.EXE'
'DV95.EXE'
'DV95_O.EXE'
'CLAW95CT.EXE'
'CFIAUDIT.EXE'
'AVWUPD32.EXE'
'AVPTC32.EXE'
'_AVP32.EXE'
'AVGCTRL.EXE'
'APVXDWIN.EXE'
'_AVPCC.EXE'
'AVPCC.EXE'
'WFINDV32.EXE'
'VSECOMR.EXE'
'TDS2-NT.EXE'
'SWEEP95.EXE'
'SCRSCAN.EXE'
'SAFEWEB.EXE'
'PERSFW.EXE'
'NAVSCHED.EXE'
'NVC95.EXE'
'NISUM.EXE'
'NAVLU32.EXE'
'MOOLIVE.EXE'
'JED.EXE'
'ICSUPP95.EXE'
'IBMAVSP.EXE'
'FRW.EXE'
'F-STOPW.EXE'
'ESPWATCH.EXE'
'DVP95.EXE'
'CLAW95.EXE'
'CFIADMIN.EXE'
'AVWIN95.EXE'
'AVPM.EXE'
'AVP.EXE'
'AVE32.EXE'
'ANTI-TROJAN.EXE'
'WEBSCAN.EXE'
'WEBSCANX.EXE'
'VSSCAN40.EXE'
'TDS2-98.EXE'
'SPHINX.EXE'
'SCANPM.EXE'
'RESCUE.EXE'
'PCFWALLICON.EXE'
'PAVCL.EXE'
'NUPGRADE.EXE'
'NAVWNT.EXE'
'NAVAPW32.EXE'
'LUALL.EXE'
'IOMON98.EXE'
'ICMOON.EXE'
'IBMASN.EXE'
'FPROT.EXE'
'F-PROT95.EXE'
'ESAFE.EXE'
'CLEANER3.EXE'
'EFINET32.EXE'
'BLACKICE.EXE'
'AVSCHED32.EXE'
'AVPDOS32.EXE'
'AVPNT.EXE'
'AVCONSOL.EXE'
'ACKWIN32.EXE'
'VSSTAT.EXE'
'VETTRAY.EXE'
'TCA.EXE'
'SMC.EXE'
'SCAN95.EXE'
'RAV7WIN.EXE'
'PCCWIN98.EXE'
'PADMIN.EXE'
'NORMIST.EXE'
'NAVW32.EXE'
'N32SCAN.EXE'
'LOOKOUT.EXE'
'IFACE.EXE'
'ICLOADNT.EXE'
'IAMSERV.EXE'
'FP-WIN.EXE'
'F-PROT.EXE'
'ECENGINE.EXE'
'CLEANER.EXE'
'CFIND.EXE'
'BLACKD.EXE'
'AVPUPD.EXE'
'AVKSERV.EXE'
'AUTODOWN.EXE'
'_AVPM.EXE'
'AVPM.EXE'
'KPFW32.EXE'
'KPF.EXE'

Payload

Se il giorno del mese è 7, 11 oppure 24 il worm effettua una connessione al sito www.avril-lavigne.com.

Rilevazione

F-Secure Anti-Virus rileva il file Lovsan/MSBlast con gli aggiornamenti pubblicati in data odierna:

[FSAV_Database_Version]

Version=2003-08-12_01