Por Bernardo Quintero bernardo@hispasec.com
Hispasec -  www.hispasec.com
(8/01/2003)

Hoy día 8 se ha detectado una gran actividad de este gusano que se propaga a través del correo electrónico, unidades de redes locales, IRC, ICQ y Kazaa, además de robar contraseñas. Se espera que en las próximas horas vaya en aumento, por lo que se recomienda a los usuarios extremen las precauciones.

Los distintos nombres con los que ha sido bautizado hacen referencia en su mayoría a la cantante Avril Lavigne, a la que el gusano dedica el "payload" (efecto) que se activa en los días 7, 11 y 24 de cualquier mes. El "payload" consiste en mover aleatoriamente el cursor del ratón, visitar la página web http://www.avril-lavigne.com , y mostrar el texto "AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg" junto a diversos efectos gráficos. El proceso más dañino consiste en el envío por e-mail de las contraseñas de acceso telefónico a redes de los sistemas Windows 95/98/Me a una dirección del creador del virus ( otto_psws@pochta.ws ).

Detectar su llegada

Para detectarlo por e-mail, la vía de propagación que más infecciones está causando en sus primeras horas, podemos fijarnos en su aspecto externo.

El campo Asunto puede ser uno de los siguientes:

Fw: Avril Lavigne - the best 

Fw: Prohibited customers... 

Fwd: Re: Admission procedure 

Fwd: Re: Reply on account for Incorrect MIME-header 

Re: According to Daos Summit 

Re: ACTR/ACCELS Transcriptions 

Re: Brigade Ocho Free membership 

Re: Reply on account for IFRAME-Security breach 

Re: Reply on account for IIS-Security 

Re: The real estate plunger

El archivo adjunto infectado por el gusano puede tener uno de los siguientes nombres:

AvrilLavigne.exe 

AvrilSmiles.exe 

CERT-Vuln-Info.exe 

Cogito_Ergo_Sum.exe 

Complicated.exe 

Download.exe 

IAmWiThYoU.exe 

MSO-Patch-0035.exe 

MSO-Patch-0071.exe 

Readme.exe 

Resume.exe 

Singles.exe 

Sk8erBoi.exe 

Sophos.exe 

Transcripts.exe 

Two-Up-Secretly.exe

Como cuerpo del mensaje podemos encontrarnos alguno de los 3 siguientes textos:

1) Restricted area response team (RART) 

Attachment you send to is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch.

2) Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so to apply the patch immediately. Patch is also provided to subscribed list of Microsoft® Tech Support:

Patch: Date :

[Subscribe]

3) Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below

Forma de infectar el sistema

Si el gusano se ejecuta en un sistema lleva a cabo las siguientes acciones:

1. Intenta eliminar los antivirus o firewalls personales que estén ejecutándose en el sistema. Para lograrlo elimina todos los procesos en ejecución cuyo nombre se encuentre en la siguiente lista:

2. Examina todas las aplicaciones en memoria y cierra cualquiera que contenta alguno de los siguientes términos formando parte del título de su ventana.

virus

anti

McAfee

Virus

Anti 

AVP

Norton

3. Se copia con nombres aleatorios y atributos de oculto en las carpetas de sistema y temporal de Windows, en la papelera de reciclaje de todas las unidades a las que tiene acceso, y en el directorio de descargas que comparte la aplicación de intercambio de ficheros Kazaa, de forma que otros usuarios puedan descargarlo e infectarse.

%WINDIR%\%Temporary%\<nombrealazar>.exe 

%WINDIR%\%Temporary%\<nombrealazar>.tft 

%WINDIR%\%System%\<nombrealazar>.exe 

%All Drives%\Recycled\<nombrealazar>.exe 

%Kazaa Downloads%\<nombrealazar>.exe

4. Añade una entrada en el Registro de Windows para autoejecutarse cada vez que se inicie Windows. En Windows NT/2000/XP el gusano se registrará como servicio.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run "Avril Lavigne - Muse" =
C:\WINDOWS\SYSTEM\<nombrealazar>.EXE

5. Añade una segunda entrada al Registro de Windows como marca de infección, de modo que evita iniciar el proceso de infección en los sistemas que contengan dicha clave:

HKEY_LOCAL_MACHINE\Software\HKLM\Software\OvG\Avril Lavigne

6. Crea un fichero de texto en la carpeta temporal de Windows con el siguiente contenido:

Author ------> 2002 (c) Otto von Gutenberg
Made in -----> Almaty .::]Kazakhstan[::. (:;)--:> 
Purpose -----> Only Educational 
Virus name --> AVRIL (please do not change it)

[ATTENTION] 
The author has no response of the damages caused by AVRIL.

[DESCRIPTION] 
For my lovely Avril Lavigne dedicated. She lives in Canada and she's beautiful. This is for AV companies: Why? Why? Why don't you update your KB (knowledge bases) on my serial and yet serious masterpieces?! I guess that of AVRIL will get you thought of it. NO DESTRUCTIVE ACTION!

[ACKNOWLEDGEMENT] 
Antoher V0X & Hacker Group from Central Asia Thanx to Rage, Razum and V-HiV; coderz.net, indovirus.net, securitylab.ru etc.

Thank you for ideas approach to us!!! Bye

7. Recorre la libreta de direcciones de Windows y los ficheros con extensiones .dbx, .mbx, .wab, .html, .eml, .htm, .tbb, .shtml, .nch, e .idx para recolectar direcciones de e-mail a las que enviar el gusano, con los asuntos, cuerpos y nombres de ficheros adjuntos que ya describimos anteriormente. En algunos de los mensajes que construye intenta explotar la vulnerabilidad IFRAME que afecta a los navegadores y clientes de correo de Microsoft para ejecutarse e infectar de forma automática, sin la intervención del usuario. Esta vulnerabilidad es muy antigua (marzo de 2001) y no se presenta en sistemas mínimamente actualizados.

8. Busca la presencia del archivo Icqmapi.dll, lo copia a la carpeta de sistema de Windows, y envía una copia del gusano a todos la lista de contactos de ICQ.

9. Crea un archivo script.ini en la carpeta de mIRC, el popular cliente de IRC, que provoca que el gusano se auto envíe de forma automática a todos los usuarios que entren a uno de los canales donde se encuentre el usuario infectado.

10. Busca todos los recursos compartidos en la red para detectar sistemas que comparten la unidad C:, en los que realiza una copia del gusano en la carpeta de la papelera de reciclaje y modifica el autoexec.bat para provocar la ejecución del gusano e infección del sistema la próxima vez que se inicie Windows, añadiendo la línea: @win <nombrealazar>.exe Esta operación la repite en todas las unidades locales.

Recomendaciones generales

Como hemos podido ver el gusano es relativamente fácil de detectar en su llegada, por lo que debemos obviar y eliminar cualquier mensaje que nos llegue con las referencias indicadas. Como norma general, también debemos de extremar las precauciones en los e-mails con archivos adjuntos que no hayamos solicitado.

A última hora de hoy la mayoría de las casas antivirus detectaban al gusano, por lo que se recomienda la actualización inmediata de los ficheros de firmas (operación que debería hacer de forma automática y continua su antivirus, de lo contrario es recomendable cambiar de producto).

• Más información:

Lirva worm atta Lavigne
http://zdnet.com.com/2100-1105-979475.html

W32/Naith.A-mm
http://www.messagelabs.com/viruseye/report.asp?id=124

W32/Avril-A
http://www.sophos.com/virusinfo/analyses/w32avrila.html

W32/Lirva-a@MM
http://vil.mcafee.com/dispVirus.asp?virus_k=99949

WORM_LIRVA.A
http://www.trendmicro.com/vinfo/virusencyclo/
default5.asp?VName=WORM_LIR VA.A

W32/Avril.B. Se propaga vía e-mail, IRC, ICQ y KaZaA
http://www.vsantivirus.com/avril-b.htm

W32.Lirva.A@mm
http://www.symantec.com/avcenter/venc/data/w32.lirva.a@mm.html

Lirva
http://www.pandasoftware.es/virus_info/
enciclopedia/verficha.aspx?idvirus=37896

Lirva
http://www.f-secure.com/v-descs/lirva.shtml

I-Worm.Avron
http://www.avp.ch/avpve/worms/email/avron.stm

Win32.Lirva.A
http://www3.ca.com/virusinfo/virus.asp?ID=13969