První letošní vir Lirva krade hesla a vyřazuje z provozu antiviry

  • 6
Tvůrci virů nabrali sil do nového roku a již je zde první přírůstek do galerie virů, který zkomplikuje život nejednomu uživateli. Čím se vir vyznačuje a jak vám může zkomplikovat život?

Objevil se další z dlouhé řady tzv. „mass-mailing“ červů. Dostal jméno Livra (nebo také Naith či Avril).

Lirva je do značné míry typický e-mailový červ. Kromě e-mailu se dokáže šířit také pomocí ICQ, IRC a P2P sítě KaZaa. Kromě toho obsahuje také rutinu pro kradení hesel (Password-Stealer) a snaží se „zabíjet“ procesy některých antivirových a bezpečnostních programů.

Pro vyhledávání e-mailových adres dalších potencionálních obětí červ používá širokou paletu funkcí. V Outlooku prohledává „Sent Items“ a „Inbox“, zneužívá Windows Address Book (WAB) a na lokálním disku prohledává další soubory s příponami .DBX, .EML, .HTM, .HTML, .IDX, .MBX, .NCH, .SHTML, .TBB a .WAB.

Předmět infikovaného e-mailu je náhodně volen z následujícího seznamu:
Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger

E-mail může také obsahovat známou bezpečnostní díru (MIME exploit), která může způsobit spuštění přiloženého souboru při jeho otevření.

Červ se snaží o svoje rozeslání pomocí ICQ a mIRC klienta, jehož nastavení modifikuje prostřednictvím jeho boot skriptů.

Pokud je červ v systému aktivní, snaží se o ukončování procesů některých bezpečnostních programů. Procesy rozlišuje na základě jejich jmen. Současně také monitoruje názvy (titlebar) otevíraných oken, a pokud název obsahuje některý z definovaných textových řetězců, snaží se okno zavřít.

Do systému se kopíruje pod náhodným jménem (např: A33AAAAgbab.EXE) do adresáře C:\WINDOWS\SYSTEM32. Do systémových registrů červ pro tento soubor přidává klíč, který zajišťuje jeho spuštění během startu systému. Další klíč používá jako příznak infekce.

Kromě toho kopíruje pod náhodným jménem svoje další čtyři exempláře do Odpadkového koše Windows (RECYCLED) a pro jeden z nich přidává odkaz do souboru AUTOEXEC.BAT. Další soubor umisťuje do adresáře C:\WINDOWS\TEMP. Do stejného adresáře ukládá soubor „avril-ii.inf“, který obsahuje vzkaz od jeho autora.

První letošní vir Lirva krade hesla a vyřazuje z provozu antiviry

K odesílání infikovaných e-mailů červ využívá vlastní SMTP engine, s jehož pomocí se také snaží o odesílání hesel z infikovaného systému svému autorovi.

Činnost červa se projevuje tak, že po svém spuštění zobrazuje v internetovém prohlížeči (default browser) webovou stránku Avril Lavigne (http://www.avril-lavigne.com) a v levém horním rohu text: AVRIL_LAVIGNE_LET_GO-MY_MUSE:) 2002 (c). Na pracovní ploše může vykreslovat barevné geometrické obrazce, které její obsah překrývají. 

Článek vznikl ve spolupráci se společností AEC. Na jejích stránkách naleznete rovněž více informací o viru.