 |
 |
|
|
|
|
|
|
| Naam (type): |
| W32.Lirva.c@MM (Internet Worm) |
| Besturing: |
| Microsoft Windows |
| Datum: |
| 9 januari 2003 |
| Risico: |
| Laag |
| Bron: |
| (c) 2003, VirusAlert |
| Aliassen: |
| Lirva.c |
| Eigenschappen: |
Lirva.C (= omgekeerd: Avril) is een mass-mailer internetworm die zich naast de verspreiding via e-mail ook verspreidt via software als Kazaa, IRC en ICQ. Livra.C is een variant van Lirva.A
Belangrijkste verschil is het gegeven dat Lirva.C de back orifice tool installeert op het getroffen systeem. Hiermee krijgt de virusschrijver volledige toegang tot dit systeem. Dit onderdeel wordt via een externe website binnengehaald. Inmiddels is deze offline.
Back Orifice
Installatie van Back Orifice op het systeem zorgt ervoor dat de virusschrijver/cracker de volgende acties kan uitvoeren:
* Volledige toegang tot schijven, bestanden en applicaties.
* Toegang tot in de cache opgeslagen wachtwoorden en gebruikersnamen.
Communicatie met systeem via poort 31337.
De versturing via e-mail geschiedt richting alle e-mailadressen:
* Die het virus vindt in het postvak "Verzonden items" en het "Postvak IN" van Outlook.
* Van contactpersonen uit het Windows Adressen Boek (WAB)
* In lokaal opgeslagen bestanden met de extensies; .dbx, .eml, .htm, .html, . idx, .mbx, .nch, .shtml, .tbb en .wab
Eigenschappen van het e-mailbericht:
-Afzendadres: standaard e-mailadres van besmette systeem.
-Onderwerp: [wisselend, mogelijk een van onderstaande:]
OF/OF:
Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger
- Tekst van het bericht: [wisselend, mogelijk een van onderstaande:]
OF:
Restricted area response team (RART)
___________________________________
Attachment you send to is intended to overwrite start address at 0000:HH4F
To prevent from the further buffer overflow attacks apply the MSO-patch.
___________________________________
OF:
Patch is also provided to subscribed list of Microsoft Tech Support: to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so and do not need to take additional action. Customers who have applied that patch are already protected against the vulnerability that is eliminated by a previously-released patch. Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0.
OF:
Admission form attached below. Vote for I'm with you! FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Avril fans subscription
- Naam bijlagebestand: [wisselend, mogelijk een van onderstaande:]
Bestand is 34.815 bytes groot
OF/OF:
[willekeurige naam].TXT
[willekeurige naam].DOC
AvrilLavigne.exe
AvrilSmiles.exe
CERT-Vuln-Info.exe
Cogito_Ergo_Sum.exe
Complicated.exe
Download.exe
IAmWiThYoU.exe
MSO-Patch-0035.exe
MSO-Patch-0071.exe
Readme.exe
Resume.exe
Singles.exe
Sk8erBoi.exe
Sophos.exe
Transcripts.exe
Two-Up-Secretly.exe
[willekeurige naam].TXT
|
|
|
|
|
Herkenning van besmetting:
|
Bepaalde varianten van dit virus maken gebruik van het zgh. MiME-exploit. Dit "lek" in Microsoft Explorer zorgt ervoor dat het bijlagebestand automatisch wordt gestart indien het bericht in de voorbeeldweergave wordt bekeken.
Wij adviseren om uw microsoft software te controleren op de installatie van deze patches. Indien deze niet zijn geinstalleerd kunt u deze via dezelfde website binnenhalen.
Ga voor analyse en installatie naar de gratis Microsoft Update website: klik hier
Herkenning van besmetting:
Bestanden
1. Aanwezigheid van een bestand met een willekeurige naam in de standaard Windows\System directory. Bestaande uit een willekeurig aantal karakters. Dit bestand heeft de extensie .EXE.
De aanmaakdatum van dit bestand is gelijk aan de datum van infectie.
2. Aanwezigheid van een van onderstaande bestanden in de temporary windows-directorie:
AvrilLavigne.exe
AvrilSmiles.exe
CERT-Vuln-Info.exe
Cogito_Ergo_Sum.exe
Complicated.exe
Download.exe
IAmWiThYoU.exe
MSO-Patch-0035.exe
MSO-Patch-0071.exe
Readme.exe
Resume.exe
Singles.exe
Sk8erBoi.exe
Sophos.exe
Transcripts.exe
Two-Up-Secretly.exe
3. Aanwezigheid van viertal bestanden met een willekeurige naam in de standaard Windows\prullbenbak-directory. Bestaande uit een willekeurig aantal karakters. Dit bestand heeft de extensie .EXE.
De aanmaakdatum van dit bestand is gelijk aan de datum van infectie.
4. Verwijdering van de volgende opstartbestanden. Het virus kent een lijst van mogelijke opstartbestanden van veel gebruikte security-software. Indien een van deze bestanden aanwezig is zal het worden verwijderd. Tevens zal de aangebracht registry-sleutel worden verwijderd.
_AVP32.EXE
_AVPCC.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
APVXDWIN.EXE
AUTODOWN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVP.EXE
AVP32.EXE
AVPCC.EXE
AVPDOS32.EXE
AVPM.EXE
AVPMON.EXE
AVPNT.EXE
AVPTC32.EXE
AVPUPD.EXE
AVSCHED32.EXE
AVWIN95.EXE
AVWUPD32.EXE
BLACKD.EXE
BLACKICE.EXE
CFIADMIN.EXE
CFIAUDIT.EXE
CFIND.EXE
CLAW95.EXE
CLAW95CT.EXE
CLEANER.EXE
CLEANER3.EXE
DV95.EXE
DV95_O.EXE
DVP95.EXE
ECENGINE.EXE
EFINET32.EXE
ESAFE.EXE
ESPWATCH.EXE
F-AGNT95.EXE
FINDVIRU.EXE
FPROT.EXE
F-PROT.EXE
F-PROT95.EXE
FP-WIN.EXE
FRW.EXE
F-STOPW.EXE
IAMAPP.EXE
IAMSERV.EXE
IBMASN.EXE
IBMAVSP.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMOON.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
IFACE.EXE
IOMON98.EXE
JED.EXE
KPF.EXE
KPFW32.EXE
LOCKDOWN2000.EXE
LOOKOUT.EXE
LUALL.EXE
MOOLIVE.EXE
MPFTRAY.EXE
N32SCAN.EXE
NAVAPW32.EXE
NAVLU32.EXE
NAVNT.EXE
NAVSCHED.EXE
NAVW.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
NMAIN.EXE
NORMIST.EXE
NUPGRADE.EXE
NVC95.EXE
OUTPOST.EXE
PADMIN.EXE
PAVCL.EXE
PCCWIN98.EXE
PCFWALLICON.EXE
PERSFW.EXE
RAV7.EXE
RAV7WIN.EXE
RESCUE.EXE
SAFEWEB.EXE
SCAN32.EXE
SCAN95.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SMC.EXE
SPHINX.EXE
SWEEP95.EXE
TBSCAN.EXE
TCA.EXE
TDS2-98.EXE
TDS2-NT.EXE
VET95.EXE
VETTRAY.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSSCAN40.EXE
VSSTAT.EXE
WEBSCAN.EXE
WEBSCANX.EXE
WFINDV32.EXE
ZONEALARM.EXE
Registry
1. Een verwijzing in de registry wordt aangebracht naar het bestand genoemd onder punt 1 "bestanden".
De volledige sleutel luidt:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "Avril Lavigne - Muse" = C:[locatie bestan]\[bestand genoemd onder punt 1".EXE
Overige
- Wijziging van de standaard startpagina van Microsoft Explorer in: http://www.avril-lavigne.com
Dit is de website van Avril Lavigne, een Franse muziek-artiest.
Deze actie wordt datum-afhankelijk uitgevoerd, te weten iedere 7e, 11e en 24 e van een volle maand.
- Weergave van een kleurplaat-achtige film over uw complete bureaublad.
Dit scherm is voorzien van de tekst: "AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg"
- Dataverkeer vanaf uw systeem richting IP-adres 62.118.249.10. Dit gebeurt via een eigen smtp client vanuit het virus. Hierbij wordt informatie van uw systeem, wachtwoorden/gebruikersnamen, verzonden naar de virusschrijver/cracker.
|
|
|
Verwijder instructies:
|
1a. Verwijder het virus met de gratis online scanner van McAfee, klik hier
1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.
2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.
Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.
3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.
De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.
3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
Type daar dan copy regedit.exe regedit.com
(letterlijk: copy[spatie]regedit.exe[spatie]regedit.com) en druk dan op enter.
Type daarna start regedit.com
(letterlijk: start[spatie]regedit.com) en druk dan weer op enter.
Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows
3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.
3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".
Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.
Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".
3.E. Sluit vervolgens dit venster.
3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.
3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.
3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de orginele installatie-procedure.
|
|
Link:
|
De beste AV-oplossingen vindt u bij SmartSoftware.
VirusAlert.com De internationale versie van VirusAlert.
H2oevents.nl Op zoek naar een actief bedrijfsuitje?
MyAlert.nl (tip) Gratis opzegbrieven, abonnement beheer, kasboek en
|
| Advertentie: |
|
|
|
Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging. |
|
|
|
|
|
29
28/100