/!\ Virus - Lirva (= Naith, Avril) par email, IRC et ICQ

Virus
Lirva (= Naith, Avril)

Lirva est un virus qui se propage par email, IRC et ICQ. Il se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont aléatoires mais tendent à le faire passer pour un patch de sécurité ou un fichier multimédia en rapport avec la chanteuse Avril Lavigne. Si le fichier joint est exécuté, le virus s'envoie automatiquement à tous les correspondants et désactive les antivirus et outils de sécurité les plus populaires.

PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus. En cas de doute, les utilisateurs d'Internet Explorer 5.01 et 5.5 doivent aussi mettre à jour leur navigateur via le site de Microsoft ou le service WindowsUpdate afin de corriger la faille exploitée par le virus pour s'exécuter automatiquement.

DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs ne disposant pas d'un antivirus peuvent utiliser gratuitement l'antivirus en ligne pour rechercher et éliminer le virus.


TYPE :
Ver

SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP

ALIAS :
W32/Avril.gen@MM (McAfee)
W32/Lirva@MM (McAfee)
WORM_LIRVA.A (Trend Micro)
W32/Naith.A-mm

TAILLE :
32.766 octets


DECOUVERTE :
06/01/2003

DESCRIPTION DETAILLEE :
Le virus se présente sous la forme d'un message dont le titre, le corps et le nom du fichier joint sont variables. Quelques titres de messages :

Fw: Prohibited customers...
Re: Brigade Ocho Free membership
Re: According to Daos Summit
Fw: Avril Lavigne - the best
Re: Reply on account for IIS-Security
Re: ACTR/ACCELS Transcriptions
Re: The real estate plunger
Fwd: Re: Admission procedure
Re: Reply on account for IFRAME-Security breach Fwd:
Re: Reply on account for Incorrect MIME-header
Les pièces jointes ont une extension en .EXE et leur nom évoque un patch de sécurité ou un fichier multimédia en rapport avec la chanteuse Avril Lavigne. Quelques exemples de noms de fichiers joints :

Resume.exe
Download.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
Trois corps de messages sont possibles :

"Avril fans subscription FanList admits you to take in Avril Lavigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below"
"Restricted area response team (RART) Attachment you sent to is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch"
"Microsoft has identified a security vulnerability in Microsoft® IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected and do not need to take additional action. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so to apply the patch immediately. Patch is also provided to subscribed list of Microsoft®Tech Support:"
Le virus exploite une vulnérabilité IFRAME des navigateurs Internet Explorer 5.01 et 5.5 non à jour dans leurs correctifs (MS01-020) pour s'exécuter automatiquement à l'ouverture du message ou lors de son affichage dans la fenêtre de prévisualisation avec les logiciels Outlook ou Outlook Express. L'entête du message étant modifié, la pièce jointe est généralement invisible dans le cas des logiciels de messagerie Outlook.

Si le fichier joint est exécuté, le virus extrait les adresses emails contenues dans les fichiers .DBX (Outlook Express), .EML (Outlook Express Mail), .IDX, .MBX (Eudora), .NCH (Outlook Express News), .TBB (Windows Office Toolbar Button) ainsi que le carnet d'adresses Windows (.WAB) et les pages web présents sur le disque dur pour s'y envoyer automatiquement. Les messages contaminés ne comportent généralement aucun destinataire dans le champ "A:" ni "Cc:", ou simplement l'expression "recipient list not shown:" dans le champ "Cc:". Le virus s'envoie également à tous les contacts ICQ.

Enfin, le virus désactive les antivirus et outils de sécurité les plus populaires et ouvre une session de navigation pour afficher le site de la chanteuse Avril Lavigne si le jour du mois est le 7, le 11 ou le 24.

source : www.secuser.com

ps : vous voila prévenu si jamais vous recevez un mail douteux.

Moi j'ai une amie qui a le virus I Love You sur son pc et a chaque connexion sur msn je recois 2 a 3 mails de sa part en anglais contenant le virus. Résultat tous les mails en anglais qui concerne les amours le sexe ou l'amitié ne les ouvrez plus !!!

Autre chose que j'ai remarqué lorsque le virus s'envoie il n'utilise qu'un partie du nom de l'expéditeur avec mon amie par exemple .. Si elle m'envoie un mail le nom du destinataire c'est (PRENOM + NOM) et lorsque c'est le virus qui s'envoie c'est (NOM) donc voilà si vous connaissez bien la personne vous pouvez facilement prédire si le mail contient un virus ou pas. Aussi a tous les utilisateurs de Messenger. Ne cliquez pas directement pour voir le mail sinon vous l'ouvrez automatiquement. Attendez que la fenêtre de notification disparaissent puis consulter votre boîte :wink:.

Je pense que ca doit être tout ce que je peux vous donnez comme info... :cry:.

Merci pour l'info C@N

GG

:wink:

y font bien chier avec leur virus de merde ...
c est peut etre encore un coup de norton :roll:

:wink: ok c noté! thx!

ça sert à quoi de savoir qu'un nouveau virus est sorti?

Te crouvrir



Franchement les inventeurs de virus ce sont des gros DEBILE qui on que ca a foutre si on arrivai a tous les griller qu est ce qu on serai bien vous imaginer pouvoir dll nimporte quoi sans devoir l analyser ou se tracasser en ouvrant une page


Et moi perso mes mail j ouvre PAS a part si la personne me dis sur msn je t envoi un mail la je l ouvre sinon pan dans les dent jeter :twisted:

pour se couvrir il existe de simples règles à respecter..

c'est pas en lisant la liste des nouveaux virus qu'on est plus protégé, ça vous en donne juste l'impression..

brouette a dit:

pour se couvrir il existe de simples règles à respecter..

c'est pas en lisant la liste des nouveaux virus qu'on est plus protégé, ça vous en donne juste l'impression..

Cliquez pour agrandir...

Bah c est pour bien fair parce que certaine personne n on pas encore d anti virus et son mal protégé donc il le dis mais si toi tu fais deja ce qui faut bein ca va mais tjs est il que si tu te le chope grace a ce thread tu sais tout desuit ce que tu dois fair

Si tu comprend pas laisse tomber :?

Tout l'monde sait que les premiers virus on été créé afin de créer les anti-virus...

ca coule de source comme qui dirait...

autre exemple skynet déconne bcp ces derniers temps... et méchamment même... les gens sont pas content y a bcp de chose à améliorer.. ils mettent la clientèle a bout, et en fin d'compte règle au ptit coup par coup les problèmes, chaque problème résolu sera optimal, mais chaque problème résolu en créera un nouveau, et ainsi de suite... les clients sont content un certain temps, et c'est repanique peu de temps après, mais les clients ne s'en iront pas parce qu'ils auront l'impression d'avoir été écouter...

merci pour l'info , mais ca me concerne pas j'ai win 3.1 LoL non , je plaisante , mais thx pour l'info

/!\ Attention soyez très prudent il fait tjs rage /!\


S E C U S E R A L E R T 10/01/03
http://www.secuser.com/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Nouvelles variantes et utilitaire de désinfection
contre le virus Lirva/Naith
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1. INFORMATIONS COMPLEMENTAIRES
2. SYSTEME(S) CONCERNE(S)
3. AIDE ET DISCUSSION
4. FAIRE CONNAITRE SECUSER ALERT
5. CONTACTER SECUSER.COM
6. DESABONNEMENT ET CHANGEMENT D'ADRESSE


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1. INFORMATIONS COMPLEMENTAIRES
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Comme annoncé le 7 janvier dernier, le virus Lirva connaît une propagation
importante. Il se propage par email, IRC, ICQ et KaZaA en se faisant passer
pour un patch de sécurité ou un fichier en rapport avec la chanteuse Avril
Lavigne. Une variante de ce virus connaît aussi une diffusion importante et
est capable de se propager accompagnée d'un fichier copié sur l'ordinateur
de sa victime. D'autres variantes étant susceptibles d'apparaître et de se
répandre rapidement, une vigilance particulière est recommandée car durant
les premières heures suivant son apparition une variante peut ne pas être
détectée même par un antivirus à jour dans ses définitions. En cas
d'infection ou en cas de doute, un utilitaire gratuit (Symantec) est
disponible pour rechercher et éliminer les principales variantes du virus.
http://www.secuser.com/alertes/2003/lirva.htm#Desinfection

Ca existe les virus qu'on doit pas ouvrir soit en même en executant un .exe?

Moi c'est des spams que j'en ai marre :evil: Des trucs genre :

"Hello,
The attached product is send as a part of our official campaign
for the popularity of our product...."

avec des .scr joints...

J'en reçoit jusque'à 6 par jour, c'est vraiment LOURD X( D'autant plus que l'adresse change chaque fois...

Kirikou a dit:

Ca existe les virus qu'on doit pas ouvrir soit en même en executant un .exe?

Cliquez pour agrandir...

oui pour ceux qui exploite une faille de sécurité ... n'oublie pas de mettre a jour ton windows... via windows update (en général c'est suffisant)