Versiones del gusano Lirva (alias Avril, Avron, Naith)

Tal y como adelantamos ayer, este nuevo gusano ha mantenido un ritmo
de propagación al alza en las últimas 24 horas, hasta el punto de
situarse en segunda posición en los indicadores de infección, sólo
por debajo del casi sempiterno Klez. Parte de culpa en la escalada
de Lirva la tienen las nuevas versiones aparecidas, la última, hasta
el momento, presenta la novedad de que descarga e instala el troyano
BackOrifice en los equipos infectados.

Además de las acciones que llevaba a cabo la primera versión del
gusano, y que ya comentamos en el «una-al-día» de ayer, Lirva.C
conecta con el sitio http://web.host.kz/ y descarga el troyano
BackOrifice, lo copia en la carpeta de sistema de Windows bajo el
nombre de fichero Bo2k.exe y crea la siguiente entrada en el registro
para asegurar la ejecución de esta puerta trasera cada vez que se
inicie el sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SocketListner = C:\Windows\System\Bo2k.exe

El gusano intenta la descarga de otro fichero, si bien éste no se
encuentra disponible hasta al momento en el sitio web.

Las nuevas versiones del gusano también incorporan nuevos textos con
los que presentarse por correo electrónico antes los usuarios. A
continuación actualizamos los asuntos, cuerpos y nombres de archivos
adjuntos según variante.

El asunto del e-mail puede ser uno de los siguientes:

Versión A:

Fw: IREX Fields Description
Re: ACCELS Awards results for 2003
Re: Avril Fans will rock you
Fw: Avril Lavigne – the best
Re: Antique themes
Re: ACTR/ACCELS Transcriptions

Versión B:
Fw: Redirection error notification
Re: Brigada Ocho Free membership
Re: According to Purges Statement
Fw: Avril Lavigne – CHART ATTACK!
Re: Reply on account for IIS-Security Breach (TFTP)
Re: ACTR/ACCELS Transcriptions
Re: IREX admits you to take in FSAU 2003
Fwd: Re: Have U requested Avril Lavigne bio?
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors masters – dont miss it!
Fwd: RFC-0245 Specification requested…
Fwd: RFC-0841 Specification requested…
Fw: F. M. Dostoyevsky «Crime and Punishment»
Re: Junior Achievement
Re: Ha perduto qualque cosa signora?

Versión c:
Fw: Prohibited customers…
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne – the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header

El cuerpo del mensaje puede variar entre:

Variante A:

1)
EDUCATIONAL PURPOSE
Avril fans subscription
I wish you the sweetest thing

2)
Restricted area response team (RART)

Attachment you sent to %random worm% is really good 🙂
Well done!

SMTP session error #450: service not ready

3)
>See this in attached files
>>New PICS of Avril Lavigne!!!
>>It is honourable when you do it!!!

Variante B:

1)
Network Associates weekly report:
Microsoft has identified a security vulnerability in Microsoft IIS 4.0
and 5.0 that is eliminated by a previously-released patch. Customers who
have applied that patch are already protected against the vulnerability and
do not need to take additional action. to apply the patch immediately.
Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not
already done so Patch is also provided to subscribed list of Microsoft Tech
Support:
Patch :
Dateÿ:

2)
Restricted area response team (RART) Attachment you sent to %s is intended
to overwrite start address at 0000:HH4F To prevent from the further buffer
overflow attacks apply the MSO-patch

3)
Avril fans subscription
FanList admits you to take in Avril Lavigne 2003
Billboard awards ceremony Vote for I’m with you! Admission form attached
below

4)
AVRIL LAVIGNE – THE CHART ATTACK!
Vote fo4r Complicated!
Vote fo4r Sk8er Boi!
Vote fo4r I’m with you!
Chart attack active list:

Variante c:

1)
Microsoft has identified a security vulnerability in Microsoft IIS 4.0
and 5.0 that is eliminated by a previously-released patch. Customers who
have applied that patch are already protected against the vulnerability and
do not need to take additional action. to apply the patch immediately.
Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not
already done so
Patch is also provided to subscribed list of Microsoft® Tech Support:

2)
Restricted area response team (RART) Attachment you sent to %s is intended
to overwrite start address at 0000:HH4F To prevent from the further buffer
overflow attacks apply the MSO-patch

3)
Avril fans subscription
FanList admits you to take in Avril Lavigne 2003
Billboard awards ceremony Vote for I’m with you! Admission form attached
below

El nombre del archivo adjunto infectado puede ser:

Variante A:
Resume.exe
ACTR_Form.exe
AvrilFans.exe
PDF_Desc.exe
XXX_Teens.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe

Variante B:
Resume.exe
ADialer.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
TrickerTape.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
Phantom.exe
EntradoDePer.exe
SiamoDiTe.exe
BioData.exe
ALavigne.exe

Variante c:
Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe

Aunque en estos momentos la mayoría de las casas antivirus ya sitúan
al gusano Lirva como alerta, los indicios apuntan a que se trata de
un espécimen con un ciclo de vida bastante más corto en comparación,
por ejemplo, con Klez. Entre otras razones, Lirva tiene la debilidad
de obtener los textos de asunto, cuerpo y nombre de archivo de una
lista delimitada, tal y como acabamos de ver, lo que permite a los
usuarios reconocerlo de forma fácil por su aspecto más externo y, a
los administradores, detener su llegada con simples filtros en el
servidor de correo.

También resulta curioso el ligero retraso y/o recelo de algunas casas
antivirus y sitios similares en dar la alerta sobre Lirva, pese a
que el día 8 había indicios de una actividad importante. Con respecto
a las casas antivirus, de un tiempo a esta parte, se pone especial
cuidado en no caer en hypes o alertas injustificadas, ya que ese
tipo de prácticas daba una imagen negativa al sector. Ahora hay que
buscar un punto intermedio, ya que el tiempo en dar una alerta cuando
hablamos de un espécimen con propagaciones tan explosivas se presenta
vital.

Por lo demás, este gusano, con sus respectivas variantes, vuelve a
poner el dedo en la llaga de las soluciones antivirus actuales, que
adolecen de ser sistemas reactivos, sin ofrecer una protección real
durante las primeras horas de vida de un gusano de alta propagación,
siendo igualmente ineficaces ante un ataque dirigido con un espécimen
no conocido o modificado para la ocasión.

Ante estas limitaciones, y aunque los intereses nos quieran presentar
a los antivirus como panacea o solución única, recomendamos a los
usuarios a que conozcan y sean en todo momento conscientes del grado
de protección real que ofrecen estos productos. Siendo necesario una
utilización responsable de la informática, de forma que con nuestra
conducta paliemos la falta de proactividad de los antivirus (no abrir
archivos adjuntos no solicitados, actualizar puntualmente nuestro
sistema, mantenerse informado sobre las alertas de seguridad, etc).

No en vano, una de las mayores vulnerabilidades es la falsa sensación
de seguridad.

Más información:

08/01/2003 – Gusano de alta propagación: Lirva / Avril / Avron / Naith
http://www.hispasec.com/unaaldia.asp?id=1536