W32.Lirva@mm

病毒名称:

W32.Lirva@mm

类别： 蠕虫

病毒资料：

W32.Lirva@mm 是一种大量传送邮件蠕虫，但它亦能透过 IRC、ICQ、Kazaa和开放的网络共享资源传播。它会尝试关闭防毒软件和防火墙程序。此外，它还会传送暂存在高速缓存内的窗口Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'密码到一个外面的电邮地址。

当蠕虫被执行时，它就会自我复制到系统资料夹并将此拷贝的路径加进以下的登录索引值：

‘HKLMSoftwareMicrosoftWindowsCurrentVersionRunAvril Lavigne - Muse‘

从而令它能于系统重新激活时被执行。

它亦会建立一个新的索引值用作记录：

"HKLMSoftwareOvGAvril Lavigne"

此外，它会以『隐藏』属性的方式将自己复制到以下的位置：

· ％Temporary％

· ％Temporary％.tft

· ％System％.exe

· ％All Drives％Recycled.exe

· ％Kazaa Downloads％.exe

然后它会透过以下多种的途径进行传播：

电子邮件

蠕虫会利用 Microsoft Outlook 和 Outlook EXPress 的漏洞进行感染，只要开启或甚至预览内文蠕虫程序便会执行。如果想获得这项漏洞更多的资料和修补程序，请参阅下列网址：http://www.microsoft.com/technet/security/bulletin/MS01-020.ASP

目标的电邮地址会从含有以下延伸档名的档案内收集回来：

.DBX .MBX .WAB .Html .EML .HTM .TBB .SHTML .NCH .IDX

电邮的主旨，内文和附件名称会在预设的名单内随机地抽取使用。详细的电邮特征，请参考 http://www.hkcert.org/valert/chi_vinfo/w32.lirva@mm.html#appendix 。

开放网络共享硬盘

蠕虫会浏览所有受感染系统内的 Windows 硬盘和可用的共享资源。它尝试以随机档名自我复制到远程的共享资源或硬盘的资源回收筒内。如果复制动作失败，它就会尝试复制自身到远程共享资源的根目录。如果以上动作有一个成功，它就会在远程硬盘的 "autoexec.bat" 档案内加入以下一行：

‘@win recycled[random_name].exe‘

或

‘@win [random_name].exe‘

如果此远程系统是使用 Windows 95/98/Me ，它便会在系统下一次激活时执行。使用 Windows NT, 2000 和 XP 的系统并不受此攻击所影响。

Kazaa

如果蠕虫在受感染的计算机上找到 Kazaa 客户程序，它就会复制自己到分享给其它 Kazza 使用者的资料夹。文件名称会从电邮附件的名单 (请参考 http://www.hkcert.org/valert/chi_vinfo/w32.lirva@mm.html#appendix ) 内来随机抽出。利用这些吸引的档名来诱骗使用者从受感染的计算机下载并执行此蠕虫病毒档案。ICQ

在初始化时，蠕虫会在 ICQ程序的资料夹内寻找一个名叫 ‘ICQMAPI.DLL‘ 的档案。如果找到这个档案，它就会将此档案复制到窗口系统的目录内并执行此 .DLL 档案。这个 .DLL 是负责与 ICQ 系统连结的。如果它能够和 ICQ 建立连结，它就可以将自己传送给联络列表内正在上网的所有联络人。文件名称则从上述的电邮附的名单内随机抽出。

互联网聊天程序 - IRC

假如蠕虫在受感染计算机上找到 mIRC (流行的 Windows IRC 客户程序) ，它会修改其设定，令程序向同一聊天频道内的使用者提供蠕虫病毒程序下载。这样，使用者在没有为意下便可能下载并执行此蠕虫病毒档案，令计算机受感染。

此外，它还会修改其它参数，令客户程序加入 ‘#avrillavigne‘ IRC 频道。

破坏力

·传送电邮到窗口地址薄和含有 .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch, and .idx 延伸档名的档案内找到的电邮地址。

·传送蠕虫自身到 ICQ联络列表上的所有联络人。

·在每月的 7、11和 24 号，它都会开启 Microsoft Internet Explorer ，并移至 avril-lavigne.com 网站。在屏幕中央会显示彩色的椭圆形，和在屏幕的左上角显示 "AVRIL_LAVIGNE_LET_G·- MY_MUSE:) 2002 (c) Ott·von Gutenberg" 的字样。

[图片来源： Sophos]

·如果计算机已连接互联网，它就会收集所有暂存在高速缓存内的Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'密码，跟着发放密码到一个外面的电邮地址。

·终止所有其名称带有以下字符串的程序：

_Avp32.exe

_avpcc.exe

_avpm.exe

Ackwin32.exe

Anti-trojan.exe

Apvxdwin.exe

Autodown.exe

Avconsol.exe

Ave32.exe

Avgctrl.exe

Avkserv.exe

Avp.exe

Avp32.exe

Avpcc.exe

Avpdos32.exe

Avpm.exe

Avpmon.exe

Avpnt.exe

Avptc32.exe

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

别名:Avron, Avril, Lirva, Naith, W32/Lirva.A@MM, W32/Avril-A, W32/Avril.gen@MM , W32/Lirva@MM, Win32.Lirva.A, Worm/Naith.A, WORM_LIRVA.A, I-Worm.Avron

开放网络共享硬盘网络蠕虫“阿芙伦”大全。

发现日期：

2002-8-19

• ·W32.Lavehn.A@mm
• ·W32.Lamecada@mm
• ·W32.Klez.H@mm
• ·W32.Poscal.Worm
• ·W32.Manymize@mm
• ·W32.Yaha.K@mm
• ·W32.Urick.A@mm
• ·W32.Supova.B.worm
• ·Worm.sdbot-ia
• ·Worm.Spyboter