Lirva.C

Lirva.C produce los siguientes efectos en el ordenador afectado:

• Finaliza el funcionamiento de numerosos procesos que se encuentren activos y estén relacionados con programas antivirus (entre otros). Los procesos que finaliza son los siguientes:
  
  KPF.EXE, KPFW32.EXE, _AVPM.EXE, AUTODOWN.EXE, AVKSERV.EXE, AVPUPD.EXE, BLACKD.EXE, CFIND.EXE, CLEANER.EXE, ECENGINE.EXE, F-PROT.EXE, FP-WIN.EXE, IAMSERV.EXE, ICLOADNT.EXE, IFACE.EXE, LOOKOUT.EXE, N32SCAN.EXE, NAVW32.EXE, NORMIST.EXE, PADMIN.EXE, PCCWIN98.EXE, RAV7WIN.EXE, SCAN95.EXE, SMC.EXE, TCA.EXE, VETTRAY.EXE, VSSTAT.EXE, ACKWIN32.EXE, AVCONSOL.EXE, AVPNT.EXE, AVPDOS32.EXE, AVSCHED32.EXE, BLACKICE.EXE, EFINET32.EXE, CLEANER3.EXE, ESAFE.EXE, F-PROT95.EXE, FPROT.EXE, IBMASN.EXE, ICMOON.EXE, IOMON98.EXE, LUALL.EXE, NAVAPW32.EXE, NAVWNT.EXE, NUPGRADE.EXE, PAVCL.EXE, PCFWALLICON.EXE, RESCUE.EXE, SCANPM.EXE, SPHINX.EXE, TDS2-98.EXE, VSSCAN40.EXE, WEBSCANX.EXE, WEBSCAN.EXE, ANTI-TROJAN.EXE, AVE32.EXE, AVP.EXE, AVPM.EXE, AVWIN95.EXE, CFIADMIN.EXE, CLAW95.EXE, DVP95.EXE, ESPWATCH.EXE, F-STOPW.EXE, FRW.EXE, IBMAVSP.EXE, ICSUPP95.EXE, JED.EXE, MOOLIVE.EXE, NAVLU32.EXE, NISUM.EXE, NVC95.EXE, NAVSCHED.EXE, PERSFW.EXE, SAFEWEB.EXE, SCRSCAN.EXE, SWEEP95.EXE, TDS2-NT.EXE, VSECOMR.EXE, WFINDV32.EXE, AVPCC.EXE, _AVPCC.EXE, APVXDWIN.EXE, AVGCTRL.EXE, _AVP32.EXE, AVPTC32.EXE, AVWUPD32.EXE, CFIAUDIT.EXE, CLAW95CT.EXE, DV95_O.EXE, DV95.EXE, F-AGNT95.EXE, FINDVIRU.EXE, IAMAPP.EXE, ICLOAD95.EXE, ICSSUPPNT.EXE, LOCKDOWN2000.EXE, MPFTRAY.EXE, NAVNT.EXE, NMAIN.EXE, OUTPOST.EXE, NAVW.EXE, RAV7.EXE, SCAN32.EXE, SERV95.EXE, TBSCAN.EXE, VET95.EXE, VSHWIN32.EXE, ZONEALARM.EXE, AVPMON.EXE and AVP32.EXE.
• También busca procesos que contengan las siguientes cadenas de texto y los finaliza: Anti, anti, AVP, McAfee, Norton, virus y Virus.
• Busca contraseñas en los ordenadores afectados y las envía por correo electrónico a una determinada dirección.
• Lirva.C se conecta al servidor web.host.kz/ e intenta descargar tres archivos: AVRIL.EXE, BO2K.EXE y BO2K_UPX.EXE. Los dos últimos archivos pertenecen al troyano de tipo backdoor, BackOrifice. Sin embargo, estos tres archivos ya no se encuentran disponibles en ese servidor.
• Los días 7, 11 y 24 de cada mes, Lirva.C abre el navegador de Internet conectándose a la página http://www.avril-lavigne.com. Posteriormente, aparecen en pantalla una serie de elipses superpuestas que van variando de color y un texto en la esquina superior izquierda de la pantalla que muestra el siguiente mensaje: AVRIL_LAVIGNE_LET_GO - MY_MUSE:) VOTE FOR I´m With YoU.

Lirva.C es un gusano peligroso que abre el navegador Internet Explorer conectándose a la página http://www.avril-lavigne.com los días 7, 11 y 24 de cada mes.

Además, Lirva.C termina varios procesos activos pertenencientes a programas antivirus, entre otros.

Lirva.C se propaga por diversas vías: correo electrónico, el programa de intercambio de ficheros punto a punto (P2P) KaZaA y las aplicaciones de chat IRC e ICQ.

Es muy fácil verse afectado por Lirva.C cuando se propaga por correo electrónico, ya que el gusano se activa automáticamente tan sólo con visualizar el mensaje a través de laVista previa de Outlook. Para conseguirlo, aprovecha una vulnerabilidad de Internet Explorer (versiones 5.01 y 5.5) que permite la ejecución automática de los ficheros de los mensajes de correo.

Lirva.C es fácil de reconocer, ya que abre el navegador Internet Explorer los días 7, 11 y 24 de cada mes, conectándose a la página http://www.avril-lavigne.com.

Además, Lirva.C muestra una serie de elipses superpuestas que van variando de color y un texto en la esquina superior izquierda de la pantalla que muestra el siguiente mensaje:

"AVRIL_LAVIGNE_LET_GO - MY_MUSE:) VOTE FOR I´m With YoU"