W32.Lirva.C@mm:Ti ho fregato

[Cinder]

Ragazzi stamattina una collega scarica la posta(con l'anteprima disattivata) e gli arrivano due messaggi nuovi; il primo era di un amica , ma l'altro sembrava sospetto molto sospetto.Mi porto sul messaggio tasto destro - proprietà - scheda dettagli - messaggio originale e guardate un pò:


HTML><HEAD></HEAD><BODY>

<H4>AVRIL LAVIGNE - THE CHART ATTACK!</H4>

<H5>Vote fo4r Complicated!</H5>

<H5>Vote fo4r Sk8er Boi!</H5>

<H5>Vote fo4r I'm with you!</H5>

<h5>Chart attack active list:</H5>


<iframe> ID" Style"" " (nun se pò )Censura Censura Al è in agguato </iframe>


<script>
Se lo riportassi penso proprio che Al mi bannerebbe a vita , è proprio l'exploit che sfrutta la vulnerabilità(INCORRECT MIME HEADER)di Outlook ,ma cio che mi meraviglia è la brevità dello script APPENA
3 Righe di codice nel tag <script></script> cose da pazzi!!!!!!
</script>
</BODY></HTML>

Content-Type: audio/x-wav
Content-Disposition: attachment; filename="MSO-Patch-0071.exe"
Content-ID: <d2BbDA3680fFG3gE2bf4>
Content-Transfer-Encoding: base64

Sinceramente pensavo a qualche script più lungo è più laborioso,
non mi capacito proprio del fatto che 3 righe di codice(non le ho ancora analizzate bene) possano far eseguire in automatico un file exe in windows sfruttando gli header dei messaggi. Comunque occhio ragazzi Sto W32.Lirva.C@mm è un vero bastardone.

[amvinfe]

HTML><HEAD></HEAD><BODY>

<H4>AVRIL LAVIGNE - THE CHART ATTACK!</H4>

<H5>Vote fo4r Complicated!</H5>

<H5>Vote fo4r Sk8er Boi!</H5>

<H5>Vote fo4r I'm with you!</H5>

<h5>Chart attack active list:</H5>





Content-Disposition: attachment; filename="MSO-Patch-0071.exe"

E' nel thread in rilievo

E’ una variante di W32.Lirva.A@mm , il livello di pericolosità è medio\alto (2), la differenza sostanziale con la precedente variante è quella di connettersi (se infetta un Pc) a tre diversi siti per scaricare una Backdoor (****://***.***.kz/avril_lavigne/Bo2k_upx.exe ****://***.***.kz/avril/Bo2k_upx.exe ****://***.***.kz/avril_ii/Bo2k_upx.exe). Dopo aver scaricato la Backdoor copia in HKEY_LOCAL_MACHINE\Software\Microsoft\Wi
ndows\CurrentVersion\Run il valore SocketListener.
L’Oggetto della mail cambia rispetto la prima variante in:
Fw: Redirection error notification
Re: Brigada Ocho Free membership
Re: According to Purge's Statement
Fw: Avril Lavigne - CHART ATTACK!
Re: Reply on account for IIS-Security Breach (TFTP)
Re: ACTR/ACCELS Transcriptions
Re: IREX admits you to take in FSAU 2003
Fwd: Re: Have U requested Avril Lavigne bio?
Re: Reply on account for IFRAME-Security breach
Fwd: Re: Reply on account for Incorrect MIME-header
Re: Vote seniors masters - don't miss it!
Fwd: RFC-0245 Specification requested...
Fwd: RFC-0841 Specification requested...
Fw: F. M. Dostoyevsky "Crime and Punishment"
Re: Junior Achievement
Re: Ha perduto qualque cosa signora?
Ed il testo presente nella mail può essere uno di questi:

Network Associates weekly report: Microsoft has identified a security vulnerability in Microsoft IIS 4.0 and 5.0 that is eliminated by a previously-released patch. Customers who have applied that patch are already protected against the vulnerability and do not need to take additional action. to apply the patch immediately. Microsoft strongly urges all customers using IIS 4.0 and 5.0 who have not already done so Patch is also provided to subscribed list of Microsoft Tech Support: Patch: Date
Restricted area response team (RART) Attachment you sent to %s is intended to overwrite start address at 0000:HH4F To prevent from the further buffer overflow attacks apply the MSO-patch
Avril fans subscription FanList admits you to take in Avril vigne 2003 Billboard awards ceremony Vote for I'm with you! Admission form attached below

Chart attack active list: Vote fo4r I'm with you! Vote fo4r Sk8er Boi!Vote fo4r Complicated!AVRIL LAVIGNE - THE CHART ATTACK! .......
.......
Viene allegato uno dei seguenti files:
Resume.exe
ADialer.exe
MSO-Patch-0071.exe
MSO-Patch-0035.exe
Two-Up-Secretly.exe
Transcripts.exe
Readme.exe
AvrilSmiles.exe
AvrilLavigne.exe
Complicated.exe
TrickerTape.exe
Singles.exe
Sophos.exe
Cogito_Ergo_Sum.exe
CERT-Vuln-Info.exe
Sk8erBoi.exe
IAmWiThYoU.exe
Phantom.exe
EntradoDePer.exe
SiamoDiTe.exe
BioData.exe
ALavigne.exe
<random>.TXT
<random>.DOC

Ciao
Marco(amvinfe)

[amvinfe]

Da aggiungere che la variante .A rispetto la .C, ad oggi, ha infettato il doppio di computer nel mondo.
Mentre la variante .A, in Europa, ha causato più danni in Germania, la .C ne ha causati di più proprio in Italia.
Marco(amvinfe)

[Cinder]

Amvinfe mi sono accorto che quello era Lirva proprio perchè
avevo visto il tuo thread ,avevo riconosciuto l'Fw: Avril Lavigne - CHART ATTACK! ma soprattutto il nome dell'eseguibile
MSO-Patch-0071.exe

Sempre a disposizione Amvinfe e grazie

[amvinfe]

Originariamente inviato da Cinder
Amvinfe mi sono accorto che quello era Lirva proprio perchè
avevo visto il tuo thread ,avevo riconosciuto l'Fw: Avril Lavigne - CHART ATTACK! ma soprattutto il nome dell'eseguibile
MSO-Patch-0071.exe

Sempre a disposizione Amvinfe e grazie

Non era assolutamente mia intezione farti notare questo, anche perchè se si ha l'AV aggiornato è lui stesso che ti segnala ciò e da lì poi uno fa le dovute ricerche.
Un saluto
ciao

Marco(amvinfe)
P.S.
E' proprio perchè noi tutti ci aiutiamo segnalando questo o quell'altro virus\worm\trojan che a volte riusciamo a non infettarci.

[Michele Facchin]

Uffa tutti che parlano di questo virus...
Ma perchè a mè non arriva mai che voglio vederlo anchio

[Cinder]

Amvinfe devi sapere che il pc su cui è arrivata la Mail di Lirva
era momentaneamente senza antivirus da martedi(dovevano installarlo domani), fortunatamente avevo disabilitato già da molto tempo anche su quel pc l'anteprima dei messaggi(dalla scoperta dell'exploit in effetti) e l'ultima volta che sono andato sul sito symantec non era ancora stato scoperto Lirva.Lunedi scorso vado a dare una spulciata al tuo thread e mi guardo gli esempi di Mail che manda Lirva ed il nome di qualche eseguibile senza studiarmi il ciclo infettivo( e non so perchè mi rimane in mente quel
AVRIL LAVIGNE - THE CHART ATTACK).Appena ho visto quella frase nel codice html di quella mail ho tirato le somme,avrei dovuto spiegarmi meglio comunque grazie ancora

[amvinfe]

Originariamente inviato da Cinder
Appena ho visto quella frase nel codice html di quella mail ho tirato le somme,avrei dovuto spiegarmi meglio comunque grazie ancora

Sono io che ringrazio te, in effetti era più pensabile che in Italia arrivassero mail con all'Oggetto "Re: Ha perduto qualque cosa signora?", evidentemente il worm non associa l'Oggetto con la destinazione della mail.

Ciao
Marco(amvinfe)

[mdsjack]

ce l'ha mio padre! E' un casino! il pc va LENTISSIMO E SI PIANTA SEMPRE! nn so come farò ad aprire il registro x toglierlo! poi il path che c'è scritto nel sito mcafee è quello inglese e in italiano nn corrisponde...

proverò a toglierlo...

[Bilancino]

http://vil.nai.com/vil/stinger/

qui c'è il tool per rimuoverlo.....fa tutto lui, l'importante è nel caso di ME/XP disabilitare il system restore.

Ciao