Win32/Lirva.A

別名: W32/Avril-A, WORM_LIRVA.A, I-Worm/Naith

Win32/Lirva.A はIRCやICQなどを通してメールの添付ファイルとして繁殖しており、また共有ネットワークディスクを通しても繁殖しています。このワームはC++で書かれており、UPXパッカーにより圧縮されています。圧縮されている時の長さは32768バイト、解凍された場合は160キロバイトとなります。
このワームは様々なバージョンのMS Internet Explorer、MS Outlook、Outlook Expressに見られるバグを利用しています。特に 「不適切なMIMEヘッダーが原因でInternet Exploreが不適切な添付ファイルの実行をする。(MS01-020)」を利用しており、これはメールがプレビューもしくは実際に開封された時に、ターゲットとしているコンピュータ上でプログラムを実行させることが可能となるものです。このバグに関する記載は以下のサイトをご参照ください。

 

日本語版 http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS01-020.asp

英語版 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

このWin32/Lirva.A ワームは以下の件名のひとつを持った電子メールに添付されています:

 

Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header

 

電子メールの本文は変化することがあり、また以下の文章のひとつを含んでいます:

 

Patch is also provided to subscribed list of Microsoft® Tech Support:
to apply the patch immediately.
Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so
and do not need to take additional action.
Customers who have applied that patch are already protected against the vulnerability
that is eliminated by a previously-released patch.
Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0
To prevent from the further buffer overflow attacks apply the MSO-patch
Attachment you sent to %s is intended to overwrite start address at 0000:HH4F%s
Restricted area response team (RART)
Admission form attached below
Vote for I'm with you!
FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony
Avril fans subscription

 

このような電子メールの添付ファイルは長さ 32768バイトのファイルを含んでおり、その名前は以下の中のひとつです:

 

Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe

 

ワームを活動させるための添付ファイルが実行されると、 Win32/Lirva.A は下記のリストに書かれている文字列と一致する名前を持った全てのプロセスを停止させます :

 

KPF.EXE, KPFW32.EXE, AVPM.EXE, AUTODOWN.EXE, \ AVKSERV.EXE, AVPUPD.EXE, BLACKD.EXE, CFIND.EXE, CLEANER.EXE, ECENGINE.EXE, F-PROT.EXE, FP-WIN.EXE, IAMSERV.EXE, ICLOADNT.EXE, IFACE.EXE, LOOKOUT.EXE, N32SCAN.EXE, NAVW32.EXE, NORMIST.EXE, PADMIN.EXE, PCCWIN98.EXE, RAV7WIN.EXE, SCAN95.EXE, SMC.EXE, TCA.EXE, VETTRAY.EXE, VSSTAT.EXE, ACKWIN32.EXE, AVCONSOL.EXE, AVPNT.EXE, AVPDOS32.EXE, AVSCHED32.EXE, BLACKICE.EXE, EFINET32.EXE, CLEANER3.EXE, ESAFE.EXE, F-PROT95.EXE, FPROT.EXE, IBMASN.EXE, ICMOON.EXE, IOMON98.EXE, LUALL.EXE, NAVAPW32.EXE, NAVWNT.EXE, NUPGRADE.EXE, PAVCL.EXE, PCFWALLICON.EXE, RESCUE.EXE, SCANPM.EXE, SPHINX.EXE, TDS2-98.EXE, VSSCAN40.EXE, WEBSCANX.EXE, WEBSCAN.EXE, ANTI-TROJAN.EXE, AVE32.EXE, AVP.EXE, AVPM.EXE, AVWIN95.EXE, CFIADMIN.EXE, CLAW95.EXE, DVP95.EXE, ESPWATCH.EXE, F-STOPW.EXE, FRW.EXE, IBMAVSP.EXE, ICSUPP95.EXE, JED.EXE, MOOLIVE.EXE, NAVLU32.EXE, NISUM.EXE, NVC95.EXE, NAVSCHED.EXE, PERSFW.EXE, SAFEWEB.EXE, SCRSCAN.EXE, SWEEP95.EXE, TDS2-NT.EXE, VSECOMR.EXE, WFINDV32.EXE, AVPCC.EXE, _AVPCC.EXE, APVXDWIN.EXE, AVGCTRL.EXE, _AVP32.EXE, AVPTC32.EXE, AVWUPD32.EXE, CFIAUDIT.EXE, CLAW95CT.EXE, DV95_O.EXE, DV95.EXE, F-AGNT95.EXE, FINDVIRU.EXE, IAMAPP.EXE, ICLOAD95.EXE, ICSSUPPNT.EXE, LOCKDOWN2000.EXE, MPFTRAY.EXE, NAVNT.EXE, NMAIN.EXE, OUTPOST.EXE, NAVW.EXE, RAV7.EXE, SCAN32.EXE, SERV95.EXE, TBSCAN.EXE, VET95.EXE, VSHWIN32.EXE, ZONEALARM.EXE, AVPMON.EXE, AVP32.EXE.

 

ワームは同様に、 virus、anti、McAfee、Virus、Anti、AVP、Norton などを含むウィンドウタイトルをもったプロセスを終了させていきます。 

 

注意：以下のセクションでは特定のWindowsオペレーティングシステムディレクトリの名前(バージョンによって異なる)を使用する変わりに、便宜的に％windir％という名前を使用します。

 

Win32/Lirva.Aはその後ランダムな名前のついた本体のコピーをC:\Recycled\ and %windir%/System ディレクトリに作成しますが、その名前には常に".exe" という拡張子がついています。またランダムな名前に".ＴＦＴ" という拡張子をつけて本体を%windir%/Tempディレクトリにコピーします。ここでワームはavril-ii.inf とComplicated.exeというファイルも同時に作成します。C: drive のルートディレクトリ内には、AvrilSmile.exeというファイルを作成します。

 

avril-ii.inf ファイルは以下のテキストを含みます:

 

2002 (c) Otto von Gutenberg
Made in .::]|KaZAkHstaN|[::.
As stated before, purpose is only educational, however...

I'm back to the scene with one more gift |Avril-II| (remember 'A' version of Avril-II)
HINT:NB: NEVER ACCEPT GIFTS FROM THE STRANGER
Avril-II is commonly dangerous because of its over-trojaned issues
Greetz to Brigada Ocho (http://vx.netlux.org/~b8), Darkside Project (http://darkside.dtn.ru)
and Weisses Fleisch Project (http://wf.h1.ru)
Many thankx to my muse Avril Lavigne whose beauty causes work to flow rapidly
New features included: ICQ/IrC/ShaReD (urgently persuade to check it instantly)
BackOrifice-server dropper will be included next time

Cheerz, Otto (www.otto-koden.h1.ru)

 

ワームは以下のシステムレジストリに "Avril Lavigne – Muse"というエントリを作成することによって活動を開始します:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
このキーはワーム本体のコピーのひとつを指定するために、ワームによって設定されます。ワームはまた以下の新しく作成されたシステムレジストリ内に様々なエントリを作成します: HKEY_LOCAL_MACHINE\Software\OvG\Avril Lavigne
ワームは繁殖のための電子メールアドレスを探すため、以下の拡張子のついたファイルを探索します: IDX、NCH、SHTML、TBB、HTM、EML、HTML、WAB、MBX、DBX

 

Win32/Lirva.A はまたIRCクライアントのmIRCを通して繁殖し、そのためscript.iniファイルを変更します。この変更により感染しているコンピュータと同じチャネルに接続している全員にこのワームのコピーを送付します。ワームは同様に、共有ディスクを通して感染を広げます。そのため特定のディスクにある"Recycled"ディレクトリ内に作成されたワームのコピーを実行するためにアクセス可能なネットワークディスク上のautoexec.batファイルを変更します。
日付がその月の7日、11日、24日になると、ワームはインターネットブラウザを開き、 URL: www.avril-lavigne.com にあるウェブページを表示します。

 

NOD32アンチウイルスシステムver. 1.342以上ではこのワームを検出します。

 

このワームを感染したコンピュータから駆除するには:

 

最新のウイルス定義ファイルをお持ちの場合:

• 〔スタートメニュー〕から〔プログラム〕竏秩пkEset〕竏秩пkNOD32〕へと進みます。
• （検査対象）タブから、表示されている全てのハードディスクをダブルクリックで選択します。
• 〔検査〕ボタンをクリックします。
• Win32/Lirva.Aが発見されると、アクションの選択が行えますので、〔駆除〕をクリックします。
• コンピュータを再起動します。

 

最新のウイルス定義ファイルアップデートをお持ちでない場合:

• セーフモードでコンピュータを再起動します。
• レジストリからワームのエントリを除去します:
• 〔スタートメニュー〕から〔ファイル名を指定して実行〕をクリックします。
• “regedit.exe”と入力します。 
• “OK” をクリックします。
• 以下のレジストリキーから “Avril Lavigne – Muse”というエントリを削除します。

 “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”

• コンピュータを通常のモードで再起動します。
• システムタスクバーにあるコントロールセンターのアイコンをクリックします。
•  最新のNOD32ウイルス定義ファイルが確実にインストールされるように"更新"ボタンをクリックします。
• 〔スタートメニュー〕から〔プログラム〕竏秩пkEset〕竏秩пkNOD32〕へと進みます。
• （検査対象）タブから、表示されている全てのハードディスクをダブルクリックで選択します。
• 〔検査〕ボタンをクリックします。
• Win32/Lirva.A Worm が発見されると、アクションの選択が行えますので、〔駆除〕をクリックします。
• コンピュータを再起動します。

 

Outlook内のバグを修正するためには、以下のアドレスからパッチをインストールしてください:

 

日本語版

* Outlook Express
http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp

* Outlook 2000
http://office.microsoft.com/japan/downloads/2000/Out2ksec.aspx

* Outlook 2002 (Office XP)
http://office.microsoft.com/japan/Downloads/2002/oxpsp2.aspx

 

英語版

* Outlook Express
http://www.microsoft.com/windows/ie/downloads/critical/q323759ie/default.asp

* Outlook 2000
http://office.microsoft.com/downloads/2000/Out2ksec.aspx

* Outlook 2002 (Office XP)
http://office.microsoft.com/Downloads/2002/oxpsp2.aspx

 

注意:
Windows ME もしくは XP オペレーティングシステム環境下では、感染したファイルが 復元される可能性があります。この問題は様々なウイルスで起こる可能性があり、詳細については こちら をご参照下さい。

(C)1992-2003 Eset s.r.o. All rights reserved. No part of this Encyclopedia may be reproduced, transmitted or used in any other way in any form or by any means without the prior permission.