ウイルス情報

ウイルス名 危険度

W32/Lirva.c@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ワーム
最小定義ファイル
(最初に検出を確認したバージョン)
4241
対応定義ファイル
(現在必要とされるバージョン)
4243 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Avron.b (AVP) :W32.Lirva.C@mm (Symantec) :WORM_LIRVA.C (Trend)
情報掲載日 03/01/10
発見日(米国日付) 03/01/8
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

2003年1月14日更新情報

感染報告が減少しているため、危険度を「低」に変更しました。

  • このウイルスは、W32/Lirva.a@MMウイルスの新種の亜種の一つです。すべての既知の亜種の一般検出は、W32/Lirva.gen@MMウイルスと同様、4241DATに含まれています。圧縮ファイルスキャンオプションは、これらの亜種から保護することができます。

  • W32/Lirva.c@MMは大量メール送信型ウイルスです。ICQ、IRC、KaZaaを介した繁殖も試みます。パスワード詐取といった発病ルーチンがあります。

  • W32/Lirva.a@MMはセキュリティソフトの終了を試みます。ICQでも繁殖し、IRC botスクリプトを落とし込みます。

    電子メールを通じた繁殖について:

    このウイルスは、Outlookを使って、「送信トレイ」と「受信トレイ」にある電子メールアドレスを検索します。また、Windows Address book(WAB)、および以下の拡張子を持つローカルディスクのファイル内の電子メールアドレスも探します。

    • .DBX
    • .EML
    • .HTM
    • .HTML
    • .IDX
    • .MBX
    • .NCH
    • .SHTML
    • .TBB
    • .WAB

    電子メールの件名は、以下の件名よりランダムに選択されます。

    • Fw: Avril Lavigne - the best
    • Fw: Prohibited customers...
    • Fwd: Re: Admission procedure
    • Fwd: Re: Reply on account for Incorrect MIME-header
    • Re: According to Daos Summit
    • Re: ACTR/ACCELS Transcriptions
    • Re: Brigade Ocho Free membership
    • Re: Reply on account for IFRAME-Security breach
    • Re: Reply on account for IIS-Security
    • Re: The real estate plunger

    添付ファイル名は、以下のファイル名のいずれかとなります

    • AvrilLavigne.exe
    • AvrilSmiles.exe
    • CERT-Vuln-Info.exe
    • Cogito_Ergo_Sum.exe
    • Complicated.exe
    • Download.exe
    • IAmWiThYoU.exe
    • MSO-Patch-0035.exe
    • MSO-Patch-0071.exe
    • Readme.exe
    • Resume.exe
    • Singles.exe
    • Sk8erBoi.exe
    • Sophos.exe
    • Transcripts.exe
    • Two-Up-Secretly.exe

    電子メールの本文は以下のようになります。

      Restricted area response team (RART) ___________________________________
      Attachment you send to is intended to overwrite start address at 0000:HH4F
      To prevent from the further buffer overflow attacks apply the MSO-patch.
      ___________________________________

      または

      Patch is also provided to subscribed list of Microsoft Tech Support: to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so and do not need to take additional action. Customers who have applied that patch are already protected against the vulnerability that is eliminated by a previously-released patch. Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0.

      または

      Admission form attached below. Vote for I'm with you! FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Avril fans subscription

      注:最後の文例は、パッチされていないシステムのInternet Explorerで、添付ファイルが自動的に実行されてしまうというMIMEエクスプロイトを含んでいます。
      これらの電子メールは、定義ファイル4172 (2001年11月発行)以降を使用すると“Exploit-MIME.gen”として検出されます。
      このエクスプロイトについての詳細な情報は、こちらをご覧ください。

      送信される電子メールの例:

    ICQ繁殖について

    • このウイルスは、ICQユーザリストにあるすべての電子メールアドレスに自身を送信しようとします。ファイル名は、上記の電子メールの添付ファイルで使用されるファイル名のうちのいずれかが使われます。

    mIRC繁殖について

    • このウイルスは、感染したmIRCユーザと同じチャネルに参加するIRCユーザに自身を送信しようとします。IRCクライアントがネットワークに接続すると、自動的に#avrillavigneチャネルに参加します。

    セキュリティソフトの終了:

      メモリ内の以下のプロセスを終了させようとします。

    • _AVP32.EXE
    • _AVPCC.EXE
    • _AVPM.EXE
    • ACKWIN32.EXE
    • ANTI-TROJAN.EXE
    • APVXDWIN.EXE
    • AUTODOWN.EXE
    • AVCONSOL.EXE
    • AVE32.EXE
    • AVGCTRL.EXE
    • AVKSERV.EXE
    • AVP.EXE
    • AVP32.EXE
    • AVPCC.EXE
    • AVPDOS32.EXE
    • AVPM.EXE
    • AVPMON.EXE
    • AVPNT.EXE
    • AVPTC32.EXE
    • AVPUPD.EXE
    • AVSCHED32.EXE
    • AVWIN95.EXE
    • AVWUPD32.EXE
    • BLACKD.EXE
    • BLACKICE.EXE
    • CFIADMIN.EXE
    • CFIAUDIT.EXE
    • CFIND.EXE
    • CLAW95.EXE
    • CLAW95CT.EXE
    • CLEANER.EXE
    • CLEANER3.EXE
    • DV95.EXE
    • DV95_O.EXE
    • DVP95.EXE
    • ECENGINE.EXE
    • EFINET32.EXE
    • ESAFE.EXE
    • ESPWATCH.EXE
    • F-AGNT95.EXE
    • FINDVIRU.EXE
    • FPROT.EXE
    • F-PROT.EXE
    • F-PROT95.EXE
    • FP-WIN.EXE
    • FRW.EXE
    • F-STOPW.EXE
    • IAMAPP.EXE
    • IAMSERV.EXE
    • IBMASN.EXE
    • IBMAVSP.EXE
    • ICLOAD95.EXE
    • ICLOADNT.EXE
    • ICMOON.EXE
    • ICSSUPPNT.EXE
    • ICSUPP95.EXE
    • IFACE.EXE
    • IOMON98.EXE
    • JED.EXE
    • KPF.EXE
    • KPFW32.EXE
    • LOCKDOWN2000.EXE
    • LOOKOUT.EXE
    • LUALL.EXE
    • MOOLIVE.EXE
    • MPFTRAY.EXE
    • N32SCAN.EXE
    • NAVAPW32.EXE
    • NAVLU32.EXE
    • NAVNT.EXE
    • NAVSCHED.EXE
    • NAVW.EXE
    • NAVW32.EXE
    • NAVWNT.EXE
    • NISUM.EXE
    • NMAIN.EXE
    • NORMIST.EXE
    • NUPGRADE.EXE
    • NVC95.EXE
    • OUTPOST.EXE
    • PADMIN.EXE
    • PAVCL.EXE
    • PCCWIN98.EXE
    • PCFWALLICON.EXE
    • PERSFW.EXE
    • RAV7.EXE
    • RAV7WIN.EXE
    • RESCUE.EXE
    • SAFEWEB.EXE
    • SCAN32.EXE
    • SCAN95.EXE
    • SCANPM.EXE
    • SCRSCAN.EXE
    • SERV95.EXE
    • SMC.EXE
    • SPHINX.EXE
    • SWEEP95.EXE
    • TBSCAN.EXE
    • TCA.EXE
    • TDS2-98.EXE
    • TDS2-NT.EXE
    • VET95.EXE
    • VETTRAY.EXE
    • VSECOMR.EXE
    • VSHWIN32.EXE
    • VSSCAN40.EXE
    • VSSTAT.EXE
    • WEBSCAN.EXE
    • WEBSCANX.EXE
    • WFINDV32.EXE
    • ZONEALARM.EXE

    すべてのウインドウのタイトルバーをモニターし、以下の文字列を含む場合にはウインドウを閉じます。

    • anti
    • Anti
    • AVP
    • McAfee
    • Norton
    • virus
    • Virus

    システムの改変:

      このウイルスは、%WINDIR%\SYSTEM32にランダムに作成したファイル名で自身をコピーします。(例:A33AAAAgbab.EXE)

      システム起動時にウイルスを実行するようにレジストリキーを追加します。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "Avril Lavigne - Muse" = C:\WINDOWS\SYSTEM\A33AAAAgbab.EXE

      ・別のキーを作成して、システムが感染していることを示すマーカにします。

    • HKEY_LOCAL_MACHINE\Software\HKLM\Software\OvG\Avril Lavigne

      C:\と%WINDIR%\TEMPに自身のコピーを作成して、上記の電子メール繁殖で使用したファイル名の1つをファイル名にします。

      さらにRECYCLEDフォルダにランダムな名前(例:@win \RECYCLED\FF177Fe6.exe)で自身のコピーを4つ作成し、AUTOEXEC.BATファイルにコールを追加します。

      また、%WINDIR%\TEMPにavril-ii.infという名前のファイルも落とし込みます。このテキストファイルは実行ファイルではありません。ウイルス作成者のメッセージが書いてあります。

    発病ルーチン:

      このウイルスは、感染マシンのキャッシュからパスワードを取得し、オープンSMTPサーバ(62.118.249.10)を介して、自身に内蔵されたSMTPエンジンを使用して電子メールをウイルス作成者に送信しようとします。

      TOPへ戻る

  • 以下の症状が見られる場合、このウイルスに感染している可能性があります。

    ウイルスが実行されると、デフォルトのブラウザが開かれ、Avril Lavigne (http://www.avril-lavigne.com)のWebページが表示される。デスクトップの左上部には次のテキストが表示されます。

  • AVRIL_LAVIGNE_LET_GO-MY_MUSE:) 2002 (c) [name of the author]

    ・ウイルスが作成したカラーの幾何学図形がスクリーン上に表示され、デスクトップの一番手前に常駐します。

    その他の感染症状:

    ・上記のレジストリキーが存在します。

    ・上記のファイルが存在します。

    ・電子メール繁殖

    ・IRC繁殖

    ・ICQ繁殖

    ・SMTPサーバ(62.118.249.10、TCPポート25)がネットワークトラフィックを示します。

    TOPへ戻る

  • 感染方法

    ・W32/Lirva.c@MMはIRC、ICQユーザに電子メールで送信される。KaZaaを介して繁殖することもあります。デフォルトのSMTPサーバは、Internet Account Manager またはOMI Account Managerの設定のレジストリから検索され、大量メール送信ルーチンを実行する際に使用されます。

    TOPへ戻る