“W32.Lirva.A@mm”的意思、由来-中文百科全书

简介

发现： 2003 年 1 月 7 日

更新： 2007 年 2 月 13 日 11:42:32 AM

别名： W32/Avril-A [Sophos], W32/Lirva.b@MM [McAfee], WORM_LIRVA.A [Trend],

Win32.Lirva.A [CA], I-Worm.Avron.c [KAV], Lirva [F-Secure]

类型: Worm

感染长度： 32,766 bytes

受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

CVE 参考： CVE-2001-0154

由于提交次数的增加，Symantec 安全响应中心自 2003 年 1 月 9 日起，将此威胁的级别从 2 类提升为 3 类。

防护

* 病毒定义（每周 LiveUpdate™） 2003 年 1 月 7 日

* 病毒定义（智能更新程序） 2003 年 1 月 7 日

威胁评估

1. 广度

* 广度级别： Medium

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： High

* 威胁抑制： Easy

* 清除： Moderate

2. 损坏

* 损坏级别： Medium

* 有效负载触发器： If the day of the month is the 7th, 11th, or 24th

* 有效负载： Opens a website and displays an image on the Windows desktop.

* 大规模发送电子邮件： Sends email to addresses found by searching the Windows Address Book and files that have the extensions .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch, and .idx

* 泄露机密信息： Emails cached Windows 95/98/Me dial-up networking passwords to the virus writer

* 危及安全设置： Attempts to terminate antivirus and firewall products

3. 分发

* 分发级别： High

* 电子邮件的主题： Various subject lines

* 附件名称： Various attachment names

* 附件大小： 32,766 bytes

* 共享驱动器： Spreads by IRC, ICQ, KaZaA, and open network shares

执行 W32.Lirva.A 时，该蠕虫会执行下列操作：

1. 终止具有以下名称的所有进程：

（单击左侧箭头打开进程列表）

2. 清点所有窗口并终止任何具有以下窗口标题栏的进程：

o virus

o anti

o McAfee

o Virus

o Anti

o AVP

o Norton

3. 将其自身作为隐藏的系统文件复制到：

o %Temporary%\\<random string>

o %Temporary%\\<random string>.tft

o %System%\\<random string>.exe

o %All Drives%\\Recycled\\<random string>.exe

o %Kazaa Downloads%\\<random string>.exe

4. 将值：

Avril Lavigne - Muse

添加到注册表键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

这样，此蠕虫便可在 Windows 启动时运行。

如果操作系统为 Windows NT/2000/XP，则该蠕虫会将其自身组册为一项服务。

5. 创建注册表键：

HKEY_LOCAL_MACHINE\\Software\\OvG\\Avril Lavigne

及蠕虫用于跟踪其感染过程的各种子键。

6. 在 Windows Temporary 文件夹中创建无恶意文本文件 %Temporary%\\Avril-ii.inf 及其他临时文件。

7. 检查计算机当前是否连接了网络。如果未连接，该蠕虫将尝试使用默认的拨号连接配置文件进行拨号。

8. 搜索 Windows 地址簿及具有以下扩展名的文件查找电子邮件地址：.dbx、.mbx、.wab、.html、.eml、.htm、.tbb、.shtml、.nch 和 .idx。然后，该蠕虫使用以下字符发送电子邮件消息：

o 主题：主题会为下列任意一个：

+ Fw: Prohibited customers...

+ Re: Brigade Ocho Free membership

+ Re: According to Daos Summit

+ Fw: Avril Lavigne - the best

+ Re: Reply on account for IIS-Security

+ Re: ACTR/ACCELS Transcriptions

+ Re: The real estate plunger

+ Fwd: Re: Admission procedure

+ Re: Reply on account for IFRAME-Security breach

+ Fwd: Re: Reply on account for Incorrect MIME-header

o 正文：消息正文会为以下任意一个：

+ Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support:

+ Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch

+ Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below

o 附件：附件为下列文件之一：

+ Resume.exe

+ Download.exe

+ MSO-Patch-0071.exe

+ MSO-Patch-0035.exe

+ Two-Up-Secretly.exe

+ Transcripts.exe

+ Readme.exe

+ AvrilSmiles.exe

+ AvrilLavigne.exe

+ Complicated.exe

+ Singles.exe

+ Sophos.exe

+ Cogito_Ergo_Sum.exe

+ CERT-Vuln-Info.exe

+ Sk8erBoi.exe

+ IAmWiThYoU.exe

o 发件人：该蠕虫会使用默认的 SMTP 服务器和用户名作为“发件人”地址。

当 Microsoft Outlook 收到该蠕虫后，它就会利用您在读取或预览该电子邮件时允许自动执行附件的漏洞进行破坏。有关该漏洞的信息和补丁程序，请访问：　9. 作为发送电子邮件例程的一个部分，该蠕虫会创建临时文件 %Temporary%\ewBoot.sys，该文件通常会立即删除掉。

10. 通过确定 ICQ 程序文件的路径来搜索文件 Icqmapi.dll。如果该蠕虫找到这个文件，它就会将其复制到 \\Windows\\System 文件夹并将其自身发送给 ICQ 联系列表中的所有联系人。

11. 在 mIRC 程序文件文件夹创建 Script.ini 文件。该文件将连接到 IRC 信道 #avrillavigne 并将其自身发送给其他加入您所加入的信道的用户。

12. 清点所有网络资源，搜索开放的 C 共享。如果该蠕虫找到开放的 C 共享，它会将其自身复制到远程系统的 \\Recycled\\<随机字符串>.exe ，并通过添加以下命令行修改该远程系统的 Autoexec.bat 文件以在启动时加载该蠕虫：

@win <random string>.exe

13. 将其自身复制到每个本地硬盘的 \\Recycled\\<随机字符串>.exe，并修改 Autoexec.bat 文件（添加 aforementioned 行），以便该蠕虫在 Windows 启动时运行（仅在 Windows 95/98/Me 计算机上）。

14. 使用随机文件名将其自身复制到 KaZaA 下载文件夹中。

15. 逢每月的 7、11 或 24 号，该蠕虫就会将您的 Web 浏览器启动到并在 Windows 桌面上显示图形动画。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

杀毒工具

Symantec 提供了杀除 W32.Lirva.A 的工具。单击此处可获得该工具。这是消除此威胁最简便的方法，应首先尝试此方法。

手动杀毒

以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。

1. 以安全模式重新启动计算机。

2. 删除它添加到注册表中的值并以正常模式重新启动。

3. 更新病毒定义。

4. 运行完整的系统扫描，并删除所有检测为 W32.Lirva.A@mm 的文件。

有关每个步骤的详细信息，请阅读以下指导。

a. 以安全模式重新启

以安全模式重新启动计算机。除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导，请参阅文档：如何以安全模式启动计算机。

b. 从注册表删除值

Symantec 强烈建议在更改注册表之前先进行备份。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。将出现“运行”对话框。

2. 键入 regedit，然后单击“确定”。将打开注册表编辑器。

3. 导航至以下键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中，删除值：

Avril Lavigne - Muse

5. 退出注册表编辑器。

6. 重新启动计算机并允许它以正常模式启动。

c. 更新病毒定义

Symantec 安全响应中心在我们的服务器上发布病毒定义之前，会全面测试以保证质量。可以通过两种方式获得最新的病毒定义：

o 运行 LiveUpdate，这是获得病毒定义最简便的方法。如果未出现重大的病毒爆发情况，这些病毒定义会在 LiveUpdate 服务器上每周发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部的病毒定义 (LiveUpdate) 部分。

o 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义会在美国工作日（周一至周五）发布。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）部分。

智能更新程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装智能更新程序病毒定义，请单击这里。

d. 扫描和删除受感染文件

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

o Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

o 赛门铁克企业版防病毒产品：请阅读如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了 W32.Lirva.A@mm，请单击“删除”。

描述者： Atli Gudmundsson

词条	W32.Lirva.A@mm
释义	W32.Lirva.A 是一个群发邮件蠕虫，它也通过 IRC、ICQ、KaZaA 和开放的网络共享进行传播。该蠕虫会试图终止防病毒和防火墙产品。它还将缓存的 Windows 95/98/Me 拨号网络密码通过电子邮件发送给病毒的编写者。当 Microsoft Outlook 收到该蠕虫后，它就会利用您在读取或预览该电子邮件时允许自动执行附件的漏洞进行破坏。逢每月的 7、11 或 24 号，该蠕虫就会将您的 Web 浏览器启动到 www.avril-lavigne.com 并在 Windows 桌面上显示图形动画。简介防护威胁评估(1. 广度 2. 损坏 3. 分发) 建议手动杀毒(a. 以安全模式重新启 b. 从注册表删除值 c. 更新病毒定义 d. 扫描和删除受感染文件) 简介发现： 2003 年 1 月 7 日更新： 2007 年 2 月 13 日 11:42:32 AM 别名： W32/Avril-A [Sophos], W32/Lirva.b@MM [McAfee], WORM_LIRVA.A [Trend], Win32.Lirva.A [CA], I-Worm.Avron.c [KAV], Lirva [F-Secure] 类型: Worm 感染长度： 32,766 bytes 受感染的系统： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP CVE 参考： CVE-2001-0154 由于提交次数的增加，Symantec 安全响应中心自 2003 年 1 月 9 日起，将此威胁的级别从 2 类提升为 3 类。防护 * 病毒定义（每周 LiveUpdate™） 2003 年 1 月 7 日 * 病毒定义（智能更新程序） 2003 年 1 月 7 日威胁评估 1. 广度 * 广度级别： Medium * 感染数量： More than 1000 * 站点数量： More than 10 * 地理位置分布： High * 威胁抑制： Easy * 清除： Moderate 2. 损坏 * 损坏级别： Medium * 有效负载触发器： If the day of the month is the 7th, 11th, or 24th * 有效负载： Opens a website and displays an image on the Windows desktop. * 大规模发送电子邮件： Sends email to addresses found by searching the Windows Address Book and files that have the extensions .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch, and .idx * 泄露机密信息： Emails cached Windows 95/98/Me dial-up networking passwords to the virus writer * 危及安全设置： Attempts to terminate antivirus and firewall products 3. 分发 * 分发级别： High * 电子邮件的主题： Various subject lines * 附件名称： Various attachment names * 附件大小： 32,766 bytes * 共享驱动器： Spreads by IRC, ICQ, KaZaA, and open network shares 执行 W32.Lirva.A 时，该蠕虫会执行下列操作： 1. 终止具有以下名称的所有进程：（单击左侧箭头打开进程列表） 2. 清点所有窗口并终止任何具有以下窗口标题栏的进程： o virus o anti o McAfee o Virus o Anti o AVP o Norton 3. 将其自身作为隐藏的系统文件复制到： o %Temporary%\\<random string> o %Temporary%\\<random string>.tft o %System%\\<random string>.exe o %All Drives%\\Recycled\\<random string>.exe o %Kazaa Downloads%\\<random string>.exe 4. 将值： Avril Lavigne - Muse 添加到注册表键： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 这样，此蠕虫便可在 Windows 启动时运行。如果操作系统为 Windows NT/2000/XP，则该蠕虫会将其自身组册为一项服务。 5. 创建注册表键： HKEY_LOCAL_MACHINE\\Software\\OvG\\Avril Lavigne 及蠕虫用于跟踪其感染过程的各种子键。 6. 在 Windows Temporary 文件夹中创建无恶意文本文件 %Temporary%\\Avril-ii.inf 及其他临时文件。 7. 检查计算机当前是否连接了网络。如果未连接，该蠕虫将尝试使用默认的拨号连接配置文件进行拨号。 8. 搜索 Windows 地址簿及具有以下扩展名的文件查找电子邮件地址：.dbx、.mbx、.wab、.html、.eml、.htm、.tbb、.shtml、.nch 和 .idx。然后，该蠕虫使用以下字符发送电子邮件消息： o 主题：主题会为下列任意一个： + Fw: Prohibited customers... + Re: Brigade Ocho Free membership + Re: According to Daos Summit + Fw: Avril Lavigne - the best + Re: Reply on account for IIS-Security + Re: ACTR/ACCELS Transcriptions + Re: The real estate plunger + Fwd: Re: Admission procedure + Re: Reply on account for IFRAME-Security breach + Fwd: Re: Reply on account for Incorrect MIME-header o 正文：消息正文会为以下任意一个： + Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support: + Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch + Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below o 附件：附件为下列文件之一： + Resume.exe + Download.exe + MSO-Patch-0071.exe + MSO-Patch-0035.exe + Two-Up-Secretly.exe + Transcripts.exe + Readme.exe + AvrilSmiles.exe + AvrilLavigne.exe + Complicated.exe + Singles.exe + Sophos.exe + Cogito_Ergo_Sum.exe + CERT-Vuln-Info.exe + Sk8erBoi.exe + IAmWiThYoU.exe o 发件人：该蠕虫会使用默认的 SMTP 服务器和用户名作为“发件人”地址。当 Microsoft Outlook 收到该蠕虫后，它就会利用您在读取或预览该电子邮件时允许自动执行附件的漏洞进行破坏。有关该漏洞的信息和补丁程序，请访问：　9. 作为发送电子邮件例程的一个部分，该蠕虫会创建临时文件 %Temporary%\ewBoot.sys，该文件通常会立即删除掉。 10. 通过确定 ICQ 程序文件的路径来搜索文件 Icqmapi.dll。如果该蠕虫找到这个文件，它就会将其复制到 \\Windows\\System 文件夹并将其自身发送给 ICQ 联系列表中的所有联系人。 11. 在 mIRC 程序文件文件夹创建 Script.ini 文件。该文件将连接到 IRC 信道 #avrillavigne 并将其自身发送给其他加入您所加入的信道的用户。 12. 清点所有网络资源，搜索开放的 C 共享。如果该蠕虫找到开放的 C 共享，它会将其自身复制到远程系统的 \\Recycled\\<随机字符串>.exe ，并通过添加以下命令行修改该远程系统的 Autoexec.bat 文件以在启动时加载该蠕虫： @win <random string>.exe 13. 将其自身复制到每个本地硬盘的 \\Recycled\\<随机字符串>.exe，并修改 Autoexec.bat 文件（添加 aforementioned 行），以便该蠕虫在 Windows 启动时运行（仅在 Windows 95/98/Me 计算机上）。 14. 使用随机文件名将其自身复制到 KaZaA 下载文件夹中。 15. 逢每月的 7、11 或 24 号，该蠕虫就会将您的 Web 浏览器启动到并在 Windows 桌面上显示图形动画。建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”： * 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。 * 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。 * 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。杀毒工具 Symantec 提供了杀除 W32.Lirva.A 的工具。单击此处可获得该工具。这是消除此威胁最简便的方法，应首先尝试此方法。手动杀毒以下指导适用于所有当前和最新的 Symantec 防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品。 1. 以安全模式重新启动计算机。 2. 删除它添加到注册表中的值并以正常模式重新启动。 3. 更新病毒定义。 4. 运行完整的系统扫描，并删除所有检测为 W32.Lirva.A@mm 的文件。有关每个步骤的详细信息，请阅读以下指导。 a. 以安全模式重新启以安全模式重新启动计算机。除 Windows NT 外，所有的 Windows 32 位操作系统均可以安全模式重新启动。有关如何完成此操作的指导，请参阅文档：如何以安全模式启动计算机。 b. 从注册表删除值 Symantec 强烈建议在更改注册表之前先进行备份。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导，请参阅文档：如何备份 Windows 注册表。 1. 单击“开始”，然后单击“运行”。将出现“运行”对话框。 2. 键入 regedit，然后单击“确定”。将打开注册表编辑器。 3. 导航至以下键： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 4. 在右窗格中，删除值： Avril Lavigne - Muse 5. 退出注册表编辑器。 6. 重新启动计算机并允许它以正常模式启动。 c. 更新病毒定义 Symantec 安全响应中心在我们的服务器上发布病毒定义之前，会全面测试以保证质量。可以通过两种方式获得最新的病毒定义： o 运行 LiveUpdate，这是获得病毒定义最简便的方法。如果未出现重大的病毒爆发情况，这些病毒定义会在 LiveUpdate 服务器上每周发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部的病毒定义 (LiveUpdate) 部分。 o 使用“智能更新程序”下载病毒定义。“智能更新程序”病毒定义会在美国工作日（周一至周五）发布。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）部分。智能更新程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装智能更新程序病毒定义，请单击这里。 d. 扫描和删除受感染文件 1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。 o Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。 o 赛门铁克企业版防病毒产品：请阅读如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。 2. 运行完整的系统扫描。 3. 如果有任何文件被检测为感染了 W32.Lirva.A@mm，请单击“删除”。描述者： Atli Gudmundsson
随便看	灰毛香青灰毛崖豆藤灰毛岩豆藤灰毛紫穗槐灰毛紫菀灰毛蕨叶花楸灰毛猕猴桃（原变种）灰毛柃灰毛槭灰帽攻击安全手册：渗透测试与漏洞分析技术灰帽黑客灰帽薹草灰没灰眉岩鹀非洲亚种灰眉岩鹀甘青亚种灰眉岩鹀尼泊尔亚种灰眉岩鹀普拉格亚种灰眉岩鹀青藏亚种灰眉岩鹀四川亚种灰眉岩鹀西南亚种灰蒙霸鹟灰糜灰密测量灰面短鲷灰面鸮