Win32.Lirva.A.mm

Nume: Win.32Lirva.A@mm Tip: Executable Script Mass mailer Marime: 32766 bytes Risc: Mediu Descriere tehnica: Acesta este un vierme care se raspandeste prin e-mail, mirc, ICQ si reateaua

Nume: Win.32Lirva.A@mm Tip: Executable Script Mass mailer Marime: 32766 bytes Risc: Mediu Descriere tehnica: Acesta este un vierme care se raspandeste prin e-mail, mirc, ICQ si reateaua Kazaa. Subject: Ales aleatoriu din lista urmatoare: Fw: Prohibited customers... Re: Brigade Ocho Free membership Re: According to Daos Summit Fw: Avril Lavigne - the best Re: Reply on account for IIS-Security Re: ACTRA/ACCELS Transcriptions Re: Thea real estate plunger Fwd: Re: Admission procedure Re: Reply in account for IFRAME - Security breach Fwd: Re: Reply on account for Incorrect MIME-header Acest virs foloseste exploit-ul IFRAME, astfel, daca patch-ul vulnerabilitatii pentru clientul de e-mail nu este bine realizat, atunci virusul se va executa la previzualizare sau la deschidere. Virusul verifica sistemul pentru infectii anterioare si se instaleaza numai daca acesta nu a mai fost infectat. In caz contrar, paraseste sistemul. Dupa executare, virusul se copiaza sub un nume aleatoriu (ex.: EF31c842.TFT in dosarul %TEMP%), se copiaza in dosarul %SYSTEM% sub un nume ales la intamplare (ex: EF31c842.exe), apoi adauga cheia Avril Laginge - Muse in registrii: HKLM\Software\Microsoft\Windows\ CurrentVersion\Tun\ Cu valoarea: %SYSTEM%randomname.exe Pentru a asigura executarea virusului la restartare, creeaza fisierul %TEMP%\avril-ii.inf Incearca sa opreasca cele mai multe dintre procesele ce ruleaza in momentul infectarii. Si inchide toate ferestrele care contin urmatoarele siruri de caractere: Norton, AVP, Anti, Virus, McAfee, anti, virus. Virusul incearca sa distruga acele servicii si ferestre la fiecare 35 de secunde. Se trimite e-mail folosind setarile de e-mail ale victimei si adresele de e-mail luate din toate fisierele de tip .DBX, .MBX, .WAB, .HTML, .EML, .HRM, .TBB, .SHTML, .NCH, .IDX. Incearca sa infecteze partitiile deschise si partitiile la distanta copiindu-se sub un nume aleatoriu. Daca totusi clientul Kazaa exista, virusul se va copia sub unul dintre numele de atasamente incluse in fisierul partajat de Kzaa. Daca ICQ este deja instalat, atunci virusul se trimite tuturor contactelor de chat curente (in prealabil verifica acest lucru prin analizarea titlurilor tuturor ferestrelor de ICQ pentru a recunoaste unul dintre urmatoarele: USER IS IN DND MODE, USER IS AWAY, USER IN IN N/A MODE). Daca gaseste mirc in sistem, atunci adauga cateva randuri la script.ini file din dosarul mirc pentru a se putea trimite automat la toate persoanele care se alatura discutiei. In plus, virusul trimite toate parolele din cache catre urmatoarea adresa: otto psws@smtp.ru.. Ulterior, va marca aceasta actiune adaugand PSW-Trojan in cheia de registru anterioara. In zilele de 7, 11, 24 se declanseaza payload-ul virusului, constand in deschiderea paginii de internet: http://www.avril-lavigne.com. Nota: Virusii din aceasta rubrica au fost analizati de Softwin si pot fi eliminati cu antivirusul BitDefender.