Lirva

Lirva realiza las siguientes acciones:

• Finaliza los siguientes procesos, pertenecientes a programas antivirus y cortafuegos, entre otros:
  
  _AVP32.EXE, _AVPCC.EXE, _AVPM.EXE, ACKWIN32.EXE, ANTI-TROJAN.EXE, APVXDWIN.EXE, AUTODOWN.EXE, AVCONSOL.EXE, AVE32.EXE, AVGCTRL.EXE, AVKSERV.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, AVPDOS32.EXE, AVPM.EXE, AVPMON.EXE, VPNT.EXE, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVWIN95.EXE, AVWUPD32.EXE, BLACKD.EXE, BLACKICE.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFIND.EXE, CLAW95.EXE, CLAW95CT.EXE, CLEANER.EXE, CLEANER3.EXE, DV95.EXE, DV95_O.EXE, DVP95.EXE, ECENGINE.EXE, EFINET32.EXE, ESAFE.EXE, ESPWATCH.EXE, F-AGNT95.EXE, FINDVIRU.EXE, FPROT.EXE, F-PROT.EXE, F-PROT95.EXE, FP-WIN.EXE, FRW.EXE, F-STOPW.EXE, IAMAPP.EXE, IAMSERV.EXE, IBMASN.EXE, IBMAVSP.EXE, ICLOAD95.EXE, ICLOADNT.EXE,ICMOON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, IFACE.EXE, IOMON98.EXE, JED.EXE, KPF.EXE, KPFW32.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LUALL.EXE, MOOLIVE.EXE, MPFTRAY.EXE, N32SCAN.EXE, NAVAPW32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVSCHED.EXE, NAVW.EXE, NAVW32.EXE, NAVWNT.EXE, NISUM.EXE, NMAIN.EXE, NORMIST.EXE, NUPGRADE.EXE, NVC95.EXE, OUTPOST.EXE, PADMIN.EXE, PAVCL.EXE, PCCWIN98.EXE, PCFWALLICON.EXE, PERSFW.EXE, RAV7.EXE, RAV7WIN.EXE, RESCUE.EXE, SAFEWEB.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SERV95.EXE, SMC.EXE, SPHINX.EXE, SWEEP95.EXE, TBSCAN.EXE, TCA.EXE, TDS2-98.EXE, TDS2-NT.EXE, VET95.EXE, VETTRAY.EXE, VSECOMR.EXE, VSHWIN32.EXE, VSSCAN40.EXE, VSSTAT.EXE, WEBSCAN.EXE, WEBSCANX.EXE, WFINDV32.EXE y ZONEALARM.EXE.
  
  Esto deja al ordenador afectado vulnerable frente al ataque de otros malware.
• Del mismo modo, también termina los procesos que contengan cualquiera de las siguientes cadenas de texto:
  Anti, anti, AVP, McAfee, Norton, virus y Virus.
• Realiza una búsqueda de contraseñas en el ordenador afectado, y envía a través de correo electrónico las que ha conseguido recoger.
• Los días 7, 11 y 24 de cada mes abre el navegador de Internet conectándose a la página:
  http://www.avril-lavigne.com
  
  Posteriormente, aparecen en pantalla una serie de elipses superpuestas que van variando de color y un texto en la esquina superior izquierda de la pantalla que muestra el siguiente mensaje:
  
  AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg

Lirva es un gusano que finaliza procesos pertenecientes a programas antivirus y cortafuegos, entre otros. Esto deja al ordenador afectado vulnerable frente al ataque de otros malware.

Este gusano realiza una búsqueda de contraseñas en el ordenador afectado, y envía a través de correo electrónico las que ha conseguido recoger.

Lirva se propaga a través del correo electrónico, el programa de intercambio de archivos punto a punto (P2P) KaZaA, los programas de chat IRC e ICQ y a través de unidades de red compartidas.

Cuando se propaga a través del correo electrónico, Lirva llega al ordenador en un mensaje escrito en inglés de características variables. Se activa automáticamente tan sólo con visualizar el mensaje a través de la Vista previa de Outlook. Para conseguirlo, aprovecha la vulnerabilidad de Internet Explorer, que permite la ejecución automática de los archivos de los mensajes de correo. Esta vulnerabilidad se denomina Exploit/Iframe.

Lirva resulta sencillo de reconocer, puesto que los días 7, 11 y 24 de cada mes abre el navegador de Internet y se intenta conectar a la página http://www.avril-lavigne.com.

A continuación aparecen en pantalla una serie de elipses superpuestas que van variando de color y un texto en la esquina superior izquierda de la pantalla que muestra el siguiente mensaje:

AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg.