• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Versiones del gusano Lirva (alias Avril, Avron, Naith)

Versiones del gusano Lirva (alias Avril, Avron, Naith)

9 enero, 2003 Por Hispasec Deja un comentario

Tal y como adelantamos ayer, este nuevo gusano ha mantenido un ritmo
de propagación al alza en las últimas 24 horas, hasta el punto de
situarse en segunda posición en los indicadores de infección, sólo
por debajo del casi sempiterno Klez. Parte de culpa en la escalada
de Lirva la tienen las nuevas versiones aparecidas, la última, hasta
el momento, presenta la novedad de que descarga e instala el troyano
BackOrifice en los equipos infectados.

Además de las acciones que llevaba a cabo la primera versión del
gusano, y que ya comentamos en el «una-al-día» de ayer, Lirva.C
conecta con el sitio http://web.host.kz/ y descarga el troyano
BackOrifice, lo copia en la carpeta de sistema de Windows bajo el
nombre de fichero Bo2k.exe y crea la siguiente entrada en el registro
para asegurar la ejecución de esta puerta trasera cada vez que se
inicie el sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SocketListner = C:\Windows\System\Bo2k.exe

El gusano intenta la descarga de otro fichero, si bien éste no se
encuentra disponible hasta al momento en el sitio web.

Las nuevas versiones del gusano también incorporan nuevos textos con
los que presentarse por correo electrónico antes los usuarios. A
continuación actualizamos los asuntos, cuerpos y nombres de archivos
adjuntos según variante.

El asunto del e-mail puede ser uno de los siguientes:

Versión A:

Fw: IREX Fields Description
Re: ACCELS Awards results for 2003
Re: Avril Fans will rock you
Fw: Avril Lavigne – the best
Re: Antique themes
Re: ACTR/ACCELS Transcriptions

Versión B:
Fw: Redirection error notification
Re: Brigada Ocho Free membership
Re: According to Purges Statement
Fw: Avril Lavigne – CHART ATTACK!
Re: Reply on account for IIS-Security Breach (TFTP)
Re: ACTR/ACCELS Transcriptions
Re: IREX admits you to take in FSAU 2003
Fwd: Re: Have U requested Avril Lavigne bio?
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors masters – dont miss it!
Fwd: RFC-0245 Specification requested…
Fwd: RFC-0841 Specification requested…
Fw: F. M. Dostoyevsky «Crime and Punishment»
Re: Junior Achievement
Re: Ha perduto qualque cosa signora?

Versión c:
Fw: Prohibited customers…
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne – the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header

El cuerpo del mensaje puede variar entre:

Variante A:

1)
EDUCATIONAL PURPOSE
Avril fans subscription
I wish you the sweetest thing

2)
Restricted area response team (RART)

Attachment you sent to %random worm% is really good 🙂
Well done!

SMTP session error #450: service not ready

3)
>See this in attached files
>>New PICS of Avril Lavigne!!!
>>It is honourable when you do it!!!

Variante B:

1)
Network Associates weekly report:
Microsoft has identified a security vulnerability in Microsoft IIS 4.0
and 5.0 that is eliminated by a previously-released patch. Customers who
have applied that patch are already protected against the vulnerability and
do not need to take additional action. to apply the patch immediately.
Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not
already done so Patch is also provided to subscribed list of Microsoft Tech
Support:
Patch :
Dateÿ:

2)
Restricted area response team (RART) Attachment you sent to %s is intended
to overwrite start address at 0000:HH4F To prevent from the further buffer
overflow attacks apply the MSO-patch

3)
Avril fans subscription
FanList admits you to take in Avril Lavigne 2003
Billboard awards ceremony Vote for I’m with you! Admission form attached
below

4)
AVRIL LAVIGNE – THE CHART ATTACK!
Vote fo4r Complicated!
Vote fo4r Sk8er Boi!
Vote fo4r I’m with you!
Chart attack active list:

Variante c:

1)
Microsoft has identified a security vulnerability in Microsoft IIS 4.0
and 5.0 that is eliminated by a previously-released patch. Customers who
have applied that patch are already protected against the vulnerability and
do not need to take additional action. to apply the patch immediately.
Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not
already done so
Patch is also provided to subscribed list of Microsoft® Tech Support:

2)
Restricted area response team (RART) Attachment you sent to %s is intended
to overwrite start address at 0000:HH4F To prevent from the further buffer
overflow attacks apply the MSO-patch

3)
Avril fans subscription
FanList admits you to take in Avril Lavigne 2003
Billboard awards ceremony Vote for I’m with you! Admission form attached
below

El nombre del archivo adjunto infectado puede ser:

Variante A:
Resume.exe
ACTR_Form.exe
AvrilFans.exe
PDF_Desc.exe
XXX_Teens.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe

Variante B:
Resume.exe
ADialer.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
TrickerTape.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
Phantom.exe
EntradoDePer.exe
SiamoDiTe.exe
BioData.exe
ALavigne.exe

Variante c:
Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe

Aunque en estos momentos la mayoría de las casas antivirus ya sitúan
al gusano Lirva como alerta, los indicios apuntan a que se trata de
un espécimen con un ciclo de vida bastante más corto en comparación,
por ejemplo, con Klez. Entre otras razones, Lirva tiene la debilidad
de obtener los textos de asunto, cuerpo y nombre de archivo de una
lista delimitada, tal y como acabamos de ver, lo que permite a los
usuarios reconocerlo de forma fácil por su aspecto más externo y, a
los administradores, detener su llegada con simples filtros en el
servidor de correo.

También resulta curioso el ligero retraso y/o recelo de algunas casas
antivirus y sitios similares en dar la alerta sobre Lirva, pese a
que el día 8 había indicios de una actividad importante. Con respecto
a las casas antivirus, de un tiempo a esta parte, se pone especial
cuidado en no caer en hypes o alertas injustificadas, ya que ese
tipo de prácticas daba una imagen negativa al sector. Ahora hay que
buscar un punto intermedio, ya que el tiempo en dar una alerta cuando
hablamos de un espécimen con propagaciones tan explosivas se presenta
vital.

Por lo demás, este gusano, con sus respectivas variantes, vuelve a
poner el dedo en la llaga de las soluciones antivirus actuales, que
adolecen de ser sistemas reactivos, sin ofrecer una protección real
durante las primeras horas de vida de un gusano de alta propagación,
siendo igualmente ineficaces ante un ataque dirigido con un espécimen
no conocido o modificado para la ocasión.

Ante estas limitaciones, y aunque los intereses nos quieran presentar
a los antivirus como panacea o solución única, recomendamos a los
usuarios a que conozcan y sean en todo momento conscientes del grado
de protección real que ofrecen estos productos. Siendo necesario una
utilización responsable de la informática, de forma que con nuestra
conducta paliemos la falta de proactividad de los antivirus (no abrir
archivos adjuntos no solicitados, actualizar puntualmente nuestro
sistema, mantenerse informado sobre las alertas de seguridad, etc).

No en vano, una de las mayores vulnerabilidades es la falsa sensación
de seguridad.

Bernardo Quintero
bernardo@hispasec.com

Más información:

08/01/2003 – Gusano de alta propagación: Lirva / Avril / Avron / Naith
http://www.hispasec.com/unaaldia.asp?id=1536

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware, Vulnerabilidades

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR