Robak, który dzwoni

Symantec poinformował o wykryciu nowego, groźnego robaka pocztowego rozprzestrzeniającego się w postaci załącznika do e-maila o Avril Lavigne lub fałszywego patcha do produktu Microsoftu. W32.Lirva.A potrafi sam się aktywować, może też łączyć się z Internetem, korzystając z połączenia dial-up.

Robak zwykle pojawia się w postaci załącznika do e-maila o jednym z poniższych tytułów:

Fw: Prohibited customers...

Re: Brigade Ocho Free membership

Re: According to Daos Summit

Fw: Avril Lavigne - the best

Re: Reply on account for IIS-Security

Re: ACTR/ACCELS Transcriptions

Re: The real estate plunger

Fwd: Re: Admission procedure

Re: Reply on account for IFRAME-Security breach

Fwd: Re: Reply on account for Incorrect MIME-header

Treść takiej wiadomości zawierała będzie informacje, sugerujące, iż załącznik jest programem, gwarantującym dostęp do zasobów poświęconych wokalistce Avril Lavigne lub też patchem, usuwającym groźny błąd w jednym z produktów Microsoftu. Jednak nawet jeśli użytkownik nie da się zwieść treści wiadomości i nie uruchomi załącznika, W32.Lirva.A może się uaktywnić - robak wykorzystuje znany już od dawna błąd w zabezpieczeniach przeglądarki Internet Explorer, który sprawia, iż niektóre załączniki uruchamiają się automatycznie.

Pierwszym etapem działania "insekta" jest wyłączenie wszelkiego aktywnego oprogramowania zabezpieczającego - czyli aplikacji antywirusowych oraz firewalli. Następnie rozpoczyna od masowe rozsyłanie swoich kopii - dystrybuuje się za pośrednictwem programów: Outlook, ICQ, KaZaA, sieci IRC oraz w sieci lokalnej.

7, 11 i 25 dnia każdego miesiąca uaktywnia się dodatkowa funkcja robaka - będzie on otwierał przeglądarkę internetową i łączył się ze stroną www.avril-lavigne.com. Jeśli w danej chwili nie będzie aktywne żadne połączenie z Internetem, robak uaktywni połączenie dial-up.

Aby usunąć W32.Lirva.A, należy zaopatrzyć się w najnowsze uaktualnienia do programu antywirusowego, przeprowadzić kompleksowe skanowanie systemu i usunąć wszystkie kopie robaka.

Patcha, usuwającego omówiony wyżej błąd w Internet Explorerze, można znaleźć tutaj:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp


Zobacz również