VIRUS INFO
Naziv virusa:	I.Worm.Avril.A
Alias:	W32.Lirva A@mm, I-Worm.Avron, W32/Avril.gen@MM , W32/Lirva@MM, Worm/Naith.A, Otto Von Gutenberg
Tip:	worm
Način širenja:	e-mailom startovanjem pristiglog attachmenta, ICQ i mIRC
Veličina:	111 616 bajtova ili 34 815 bajtova ako je kompresovan
Destruktivan:	ne
Datum aktiviranja:	odmah i 7, 11 i 24 u mesecu
Otkriven:	9.01.2003.

OBJAŠNJENJE
Stiže kao e-mail u HTML formatu sa sledećim karaktaristikama:

Subject može da ima u naslovu sledeće:
Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: Reply on account for IIS-Security Breach (TFTP)
Re: The real estate plunger

Telo poruke:

1.
Restricted area response team (RART)
___________________________________
Attachment you send to is intended to overwrite start address at 0000:HH4F
To prevent from the further buffer overflow attacks apply the MSO-patch.
___________________________________

2.
Patch is also provided to subscribed list of Microsoft Tech Support: to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so and do not need to take additional action. Customers who have applied that patch are already protected against the vulnerability that is eliminated by a previously-released patch. Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0.

3.
Admission form attached below. Vote for I'm with you! FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Avril fans subscription

4.
Avril fans subscription
FanList admits you to take in Avril Lavigne 2003
Billboard awards ceremony
Vote for I'm with you!
Admission form attached below.

5.
AVRIL LAVIGNE - THE CHART ATTACK!
Vote fo4r Complicated!
Vote fo4r Sk8er Boi!
Vote fo4r I'm with you!
Chart attack active list:

Attachment može biti jedan od sledećih fajlova:
AvrilLavigne.exe
AvrilSmiles.exe
CERT-Vuln-Info.exe
Cogito_Ergo_Sum.exe
Complicated.exe
Download.exe
IAmWiThYoU.exe
MSO-Patch-0035.exe
MSO-Patch-0071.exe
Phantom.exe
Readme.exe
Resume.exe
Singles.exe
Sk8erBoi.exe
Sophos.exe
Transcripts.exe
Two-Up-Secretly.exe

Pre nego što bilo šta pokuša da uradi na korisnikovom računaru, crv će isključiti sve procese koji odgovaraju sledećoj listi:
_AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, ACKWIN32.EXE, ANTI-TROJAN.EXE, APVXDWIN.EXE, AUTODOWN.EXE, AVCONSOL.EXE, AVE32.EXE, AVGCTRL.EXE, AVKSERV.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE, AVPM.EXE, AVPMON.EXE, AVPNT.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVWIN95.EXE, AVWUPD32.EXE, BLACKD.EXE, BLACKICE.EXE, CFIADMIN.EXE,
CFIAUDIT.EXE, CFIND.EXE, CLAW95.EXE, CLAW95CT.EXE, CLEANER.EXE, CLEANER3.EXE, DV95.EXE, DV95_O.EXE, DVP95.EXE, ECENGINE.EXE, EFINET32.EXE, ESAFE.EXE, ESPWATCH.EXE, F-AGNT95.EXE, FINDVIRU.EXE, FPROT.EXE, F-PROT.EXE, F-PROT95.EXE, FP-WIN.EXE, FRW.EXE,
F-STOPW.EXE, IAMAPP.EXE, IAMSERV.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMOON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, IFACE.EXE, IOMON98.EXE, JED.EXE, KPF.EXE, KPFW32.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LUALL.EXE, MOOLIVE.EXE, MPFTRAY.EXE, N32SCAN.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVSCHED.EXE, NAVW.EXE, NAVW32.EXE, NAVWNT.EXE, NISUM.EXE, NMAIN.EXE, NORMIST.EXE, NUPGRADE.EXE, NVC95.EXE, OUTPOST.EXE, PADMIN.EXE, PAVCL.EXE, PCCWIN98.EXE, PCFWALLICON.EXE, PERSFW.EXE, RAV7.EXE, RAV7WIN.EXE, RESCUE.EXE, SAFEWEB.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SERV95.EXE, SMC.EXE, SPHINX.EXE, SWEEP95.EXE, TBSCAN.EXE, TCA.EXE, TDS2-98.EXE, TDS2-NT.EXE, VET95.EXE, VETTRAY.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSSCAN40.EXE, VSSTAT.EXE, WEBSCAN.EXE, WEBSCANX.EXE, WFINDV32.EXE, ZONEALARM.EXE.

Kada se pristigli fajl startuje, crv će kreirati jedan fajl sa nasumičnim imenom u C:\ WINDOWS \ TEMP direktorijumu koji će imati ekstenziju *.TFT i AVRIL-II.INF. Zatim će kreirati fajl u C:\ WINDOWS \ SYSTEM koji će imati dužinu od 11 karaktera koji su takođe nasumično odabrani i imaće ekstenziju *.EXE (na primer A33AAAAgbab.EXE).

Crv će kreirati još jedan fajl u C:\ RECYCLED \ <nasumično odabrana slova>.EXE ali se ovo odnosi i na sve particije korisnik ima. Znači, kreiraće i D:\ RECYCLED \ <nasumično odabrana slova>.EXE.

Posle ovoga će biti kreirani sledeći ključevi u Registry bazi:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Avril Lavigne – Muse = C:\ WINDOWS \ SYSTEM \ A33AAAAgbab.EXE

HKEY_LOCAL_MACHINE \ SOFTWARE \ OvG \ Avril Lavigne=Done

HKEY_LOCAL_MACHINE\SOFTWARE \ OvG \ Avril Lavigne \ PSW-Trojan=1

Crv skenira sve fajlove sa sledećim ekstenzijam DBX, MBX, WAB, HTML, EML, HTM, TBB, SHTML, NCH i IDX u potrazi za e-mail adresama na koje će se kasnije poslati. Listu ovih e-mail adresa možete pronaći u C:\ WINDOWS \ LISTRECP.DLL.

Crv takođe prati i nazive prozora koje otvara pa će tako prozor koji u sebi sadrži anti, Anti, AVP, McAfee, Norton, virus ili Virus biti odmah zatvoren.

Crv će pokušati da se pošalje svim osobama koje korisnik ima na svojoj ICQ listi.

Crv je napisan u programskom jeziku Microsoft Visual C++.

Da bi nastavio dalje da se širi, crv će pokušati da se, kada je korisnik konektovan na Internet, da sa lokacija
http://web.host.kz/avril_lavigne/Avril.exe
http://web.host.kz/avril/Avril.exe
http://web.host.kz/avril_ii/Avril.exe
downloaduje na korisnikov računar noviju verziju svog kôda kako bi ostao neprimećen kada korisnik osveži svoj AV program.

Crv će, takođe, pokušati sa sledećih lokacija:
http://web.host.kz/avril_lavigne/Bo2k_upx.exe
http://web.host.kz/avril/Bo2k_upx.exe
http://web.host.kz/avril_ii/Bo2k_upx.exe
da na korisnikov računar prenese i startuje jedan od navedenih backdoor programa (program kojim se omogućuje drugom licu da neovčašćeno vršlja po Vašem računaru - mediator). Tom prilikom crv će iskoristiti nepažnju korisnika pa će na već zadatu e-mail adresu poslati sve korisnikove šifre koje postoje na računaru.
I svaki put kada korisnik startuje Windows, backdoor program će biti startovan.

HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows\CurrentVersion\Run
SocketListener = (link ka backdoor programu)

Da bi se proširio preko MIRC kanala, crv će u korisnikovom fajlu SCRIPT.INI ispraviti stavku koja se odnosi na konektovanje na kanale pa će tako biti podešen da se automatski konektuje na #avrillavigne. Svi korisnici koji se pojave na taj kanal biće zaraženi ovim crvom.

Svakog 7, 11 i 24 u mesecu, crv će u korisnikovom browseru podesiti home page da bude http://www.avril-lavigne.com i malko će se poigrati sa korisnikovom radnom površinom.
U gornjem levom uglu ekrana će biti ispisano sledeće:
AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg

dok se u samom kôdu crv može pronaći sledeći detalj:
Author ------> 2002 (c) Otto von Gutenberg
Made in -----> Almaty .::]Kazakhstan[::. (:;)--:>
Purpose -----> Only Educational
Virus name --> AVRIL (please do not change it)

[ATTENTION]
The author has no response of the damages
caused by AVRIL.

[DESCRIPTION]
For my lovely Avril Lavigne dedicated.
She lives in Canada and she's beautiful.
This is for AV companies:
Why? Why? Why don't you update your KB (knowledge bases)
on my serial and yet serious masterpieces?!
I guess that of AVRIL will get you thought of it.
NO DESTRUCTIVE ACTION!

[ACKNOWLEDGEMENT]
Antoher V0X & Hacker Group from Central Asia
Thanx to Rage, Razum and V-HiV; coderz.net, indovirus.net, securitylab.ru etc.

Thank you for ideas approach to us!!!
Bye

REŠENJE
Preuzmite claner. ( )
I treba uvek imati osveženi antivirusni program.