製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- 主要ウイルスナビゲータ
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
- 無料セキュリティ情報サービス
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:L
ウイルス情報
ウイルス名危険度
W32/Lirva.a@MM
企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別ワーム
最小定義ファイル
(最初に検出を確認したバージョン)		4241
対応定義ファイル
(現在必要とされるバージョン)		4243 (現在7084)
対応エンジン4.1.60以降 (現在5.4.00) 
エンジンバージョンの見分け方
別名Naith:W32.Lirva.A@mm (Symantec):W32/Avril-A (Sophos):W32/Avril.gen@MM:W32/Lirva@MM:Worm/Naith.A (CA):WORM_LIRVA.A (Trend)
情報掲載日03/01/08
発見日(米国日付)03/01/06
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
05/22W32/Virut.ge...
05/22W32/Duel!962...
05/22W32/Duel!EC1...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7084
 エンジン:5.4.00
 
ウイルス検索
 


ウイルスの特徴TOPに戻る
2003年1月14日更新情報

感染報告が減少しているため、危険度を「低:要注意」に変更しました。

2003年1月9日更新情報
少なくとも2つの新しい亜種の存在が確認されました。現在、すべての既知の亜種は、4241 DATファイルでW32/Lirva.gen@MM として検出されます。

2003年1月8日更新情報
W32/Lirva.a@MMは、この24時間に感染報告が増加したため、危険度を“中”にしました。

■W32/Lirva.a@MMの駆除ツールはこちら

  • W32/Lirva.a@MMは大量メール送信型ウイルスです。ICQ、IRC、KaZaaを介した繁殖も試みます。パスワード詐取といった発病ルーチンがあります。

  • W32/Lirva.a@MMはセキュリティソフトの終了を試みます。ICQでも繁殖し、IRC botスクリプトを落とし込みます。

    電子メールを通じた繁殖について:

    このウイルスは、Outlookを使って、「送信トレイ」と「受信トレイ」にある電子メールアドレスを検索します。また、Windows Address book(WAB)、および以下の拡張子を持つローカルディスクのファイル内の電子メールアドレスも探します。

    • .DBX
    • .EML
    • .HTM
    • .HTML
    • .IDX
    • .MBX
    • .NCH
    • .SHTML
    • .TBB
    • .WAB

    電子メールの件名は、以下の件名よりランダムに選択されます。

    • Fw: Avril Lavigne - the best
    • Fw: Prohibited customers...
    • Fwd: Re: Admission procedure
    • Fwd: Re: Reply on account for Incorrect MIME-header
    • Re: According to Daos Summit
    • Re: ACTR/ACCELS Transcriptions
    • Re: Brigade Ocho Free membership
    • Re: Reply on account for IFRAME-Security breach
    • Re: Reply on account for IIS-Security
    • Re: The real estate plunger

    添付ファイル名は、以下のファイル名のいずれかとなります

    • AvrilLavigne.exe
    • AvrilSmiles.exe
    • CERT-Vuln-Info.exe
    • Cogito_Ergo_Sum.exe
    • Complicated.exe
    • Download.exe
    • IAmWiThYoU.exe
    • MSO-Patch-0035.exe
    • MSO-Patch-0071.exe
    • Readme.exe
    • Resume.exe
    • Singles.exe
    • Sk8erBoi.exe
    • Sophos.exe
    • Transcripts.exe
    • Two-Up-Secretly.exe

    電子メールの本文は以下のようになります。

      Restricted area response team (RART) ___________________________________
      Attachment you send to is intended to overwrite start address at 0000:HH4F
      To prevent from the further buffer overflow attacks apply the MSO-patch.
      ___________________________________

      または

      Patch is also provided to subscribed list of Microsoft Tech Support: to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so and do not need to take additional action. Customers who have applied that patch are already protected against the vulnerability that is eliminated by a previously-released patch. Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0.

      または

      Admission form attached below. Vote for I'm with you! FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Avril fans subscription

      注:最後の文例は、パッチされていないシステムのInternet Explorerで、添付ファイルが自動的に実行されてしまうというMIMEエクスプロイトを含んでいます。
      これらの電子メールは、定義ファイル4172 (2001年11月発行)以降を使用すると“Exploit-MIME.gen”として検出されます。
      このエクスプロイトについての詳細な情報は、こちらをご覧ください。

      送信される電子メールの例:

    ICQ繁殖について

    • このウイルスは、ICQユーザリストにあるすべての電子メールアドレスに自身を送信しようとします。ファイル名は、上記の電子メールの添付ファイルで使用されるファイル名のうちのいずれかが使われます。

    mIRC繁殖について

    • このウイルスは、感染したmIRCユーザと同じチャネルに参加するIRCユーザに自身を送信しようとします。IRCクライアントがネットワークに接続すると、自動的に#avrillavigneチャネルに参加します。

    セキュリティソフトの終了:

      メモリ内の以下のプロセスを終了させようとします。

    • _AVP32.EXE
    • _AVPCC.EXE
    • _AVPM.EXE
    • ACKWIN32.EXE
    • ANTI-TROJAN.EXE
    • APVXDWIN.EXE
    • AUTODOWN.EXE
    • AVCONSOL.EXE
    • AVE32.EXE
    • AVGCTRL.EXE
    • AVKSERV.EXE
    • AVP.EXE
    • AVP32.EXE
    • AVPCC.EXE
    • AVPDOS32.EXE
    • AVPM.EXE
    • AVPMON.EXE
    • AVPNT.EXE
    • AVPTC32.EXE
    • AVPUPD.EXE
    • AVSCHED32.EXE
    • AVWIN95.EXE
    • AVWUPD32.EXE
    • BLACKD.EXE
    • BLACKICE.EXE
    • CFIADMIN.EXE
    • CFIAUDIT.EXE
    • CFIND.EXE
    • CLAW95.EXE
    • CLAW95CT.EXE
    • CLEANER.EXE
    • CLEANER3.EXE
    • DV95.EXE
    • DV95_O.EXE
    • DVP95.EXE
    • ECENGINE.EXE
    • EFINET32.EXE
    • ESAFE.EXE
    • ESPWATCH.EXE
    • F-AGNT95.EXE
    • FINDVIRU.EXE
    • FPROT.EXE
    • F-PROT.EXE
    • F-PROT95.EXE
    • FP-WIN.EXE
    • FRW.EXE
    • F-STOPW.EXE
    • IAMAPP.EXE
    • IAMSERV.EXE
    • IBMASN.EXE
    • IBMAVSP.EXE
    • ICLOAD95.EXE
    • ICLOADNT.EXE
    • ICMOON.EXE
    • ICSSUPPNT.EXE
    • ICSUPP95.EXE
    • IFACE.EXE
    • IOMON98.EXE
    • JED.EXE
    • KPF.EXE
    • KPFW32.EXE
    • LOCKDOWN2000.EXE
    • LOOKOUT.EXE
    • LUALL.EXE
    • MOOLIVE.EXE
    • MPFTRAY.EXE
    • N32SCAN.EXE
    • NAVAPW32.EXE
    • NAVLU32.EXE
    • NAVNT.EXE
    • NAVSCHED.EXE
    • NAVW.EXE
    • NAVW32.EXE
    • NAVWNT.EXE
    • NISUM.EXE
    • NMAIN.EXE
    • NORMIST.EXE
    • NUPGRADE.EXE
    • NVC95.EXE
    • OUTPOST.EXE
    • PADMIN.EXE
    • PAVCL.EXE
    • PCCWIN98.EXE
    • PCFWALLICON.EXE
    • PERSFW.EXE
    • RAV7.EXE
    • RAV7WIN.EXE
    • RESCUE.EXE
    • SAFEWEB.EXE
    • SCAN32.EXE
    • SCAN95.EXE
    • SCANPM.EXE
    • SCRSCAN.EXE
    • SERV95.EXE
    • SMC.EXE
    • SPHINX.EXE
    • SWEEP95.EXE
    • TBSCAN.EXE
    • TCA.EXE
    • TDS2-98.EXE
    • TDS2-NT.EXE
    • VET95.EXE
    • VETTRAY.EXE
    • VSECOMR.EXE
    • VSHWIN32.EXE
    • VSSCAN40.EXE
    • VSSTAT.EXE
    • WEBSCAN.EXE
    • WEBSCANX.EXE
    • WFINDV32.EXE
    • ZONEALARM.EXE

    すべてのウインドウのタイトルバーをモニターし、以下の文字列を含む場合にはウインドウを閉じます。

    • anti
    • Anti
    • AVP
    • McAfee
    • Norton
    • virus
    • Virus

    システムの改変:

      このウイルスは、%WINDIR%\SYSTEM32にランダムに作成したファイル名で自身をコピーします。(例:A33AAAAgbab.EXE)

      システム起動時にウイルスを実行するようにレジストリキーを追加します。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "Avril Lavigne - Muse" = C:\WINDOWS\SYSTEM\A33AAAAgbab.EXE

      ・別のキーを作成して、システムが感染していることを示すマーカにします。

    • HKEY_LOCAL_MACHINE\Software\HKLM\Software\OvG\Avril Lavigne

      C:\と%WINDIR%\TEMPに自身のコピーを作成して、上記の電子メール繁殖で使用したファイル名の1つをファイル名にします。

      さらにRECYCLEDフォルダにランダムな名前(例:@win \RECYCLED\FF177Fe6.exe)で自身のコピーを4つ作成し、AUTOEXEC.BATファイルにコールを追加します。

      また、%WINDIR%\TEMPにavril-ii.infという名前のファイルも落とし込みます。このテキストファイルは実行ファイルではありません。ウイルス作成者のメッセージが書いてあります。

    発病ルーチン:

      このウイルスは、感染マシンのキャッシュからパスワードを取得し、オープンSMTPサーバ(62.118.249.10)を介して、自身に内蔵されたSMTPエンジンを使用して電子メールをウイルス作成者に送信しようとします。

    • 以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る

    ウイルスが実行されると、デフォルトのブラウザが開かれ、Avril Lavigne (http://www.avril-lavigne.com)のWebページが表示されます。デスクトップの左上部には次のテキストが表示されます。

  • AVRIL_LAVIGNE_LET_GO-MY_MUSE:) 2002 (c) [name of the author]

    ・ウイルスが作成したカラーの幾何学図形がスクリーン上に表示され、デスクトップの一番手前に常駐します。

    その他の感染症状:

    ・上記のレジストリキーが存在します。

    ・上記のファイルが存在します。

    ・電子メール繁殖

    ・IRC繁殖

    ・ICQ繁殖

    ・SMTPサーバ(62.118.249.10、TCPポート25)がネットワークトラフィックを示します。

    • 感染方法TOPへ戻る

    ・W32/Lirva.a@MMはIRC、ICQユーザに電子メールで送信されます。KaZaaを介して繁殖することもあります。デフォルトのSMTPサーバは、Internet Account Manager またはOMI Account Managerの設定のレジストリから検索され、大量メール送信ルーチンを実行する際に使用されます。