W32/Avril-A

Veuillez suivre les instructions de suppression des vers.

Veuillez lire les instructions pour désinfecter W32/Avril-A.

W32/Avril-A est un ver internet qui se copie dans le dossier système de Windows en utilisant un nom aléatoire et qui configure dans la base de registre l'entrée suivante pour s'exécuter automatiquement lorsque Windows démarre :

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\Avril Lavigne - Muse = <dossier système>\w32nomaléatoire.exe

Les entrées suivantes de la base de registre sont aussi créées :
HKLM\Software\OvG\Avril Lavigne=Done
HKLM\Software\OvG\Avril Lavigne\PSW-Trojan=1

W32/Avril-A se placera dans le dossier KaZaA avec l'un des noms de fichier donnés ci-dessous et crée le fichier <Windows Temp>\avril-ii.inf.

Le ver arrête des produits antivirus et place plusieurs copies de lui-même avec des noms aléatoires sur le disque dur.

Le 7, 11 et 24 de chaque mois, W32/Avril-A peut aussi ouvrir Microsoft Internet Explorer à la page www.avril-lavigne.com, afficher des ellipses colorées au milieu de l'écran et afficher "AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg" dans le coin supérieur gauche de l'écran.

Le ver peut envoyer les mots de passe présents dans le cache à une adresse e-mail russe.

W32/Avril-A se propage en s'envoyant aux adresses e-mail collectées dans les fichiers DBX, MBX, WAB, HTML, EML, HTM, TBB, SHTML, NCH et IDX, et stockées dans le fichier <Windows>\listrecp.dll.

Les e-mails auront les caractéristiques suivantes :
Objet - sélectionné aléatoirement parmi les 10 objets suivants :
Fw: Avril Lavigne - the best
Fw: Prohibited customers...
Fwd: Re: Admission procedure
Fwd: Re: Reply on account for Incorrect MIME-header
Re: According to Daos Summit
Re: ACTR/ACCELS Transcriptions
Re: Brigade Ocho Free membership
Re: Reply on account for IFRAME-Security breach
Re: Reply on account for IIS-Security
Re: The real estate plunger

Corps du message - choisi parmi 3 alternatives :
"Avril fans subscription
FanList admits you to take in Avril Lavigne 2003
Billboard awards ceremony
Vote for I'm with you!
Admission form attached below"

"Restricted area response team (RART)
Attachment you sent to <UserName> is intended to overwrite
start address at 0000:HH4F
To prevent from the further buffer overflow attacks
apply the MSO-patch"

"Microsoft has identified a security vulnerability in
Microsoft® IIS 4.0 and 5.0
that is eliminated by a previously-released patch.
Customers who have applied that patch are already protected
and do not need to take additional action.
Microsoft strongly urges all customers using IIS 4.0 and 5.0
who have not already done so to apply the patch immediately.
Patch is also provided to subscribed list of Microsoft®Tech Support:"

Pièce jointe - l'une des suivantes :
AvrilLavigne.exe
AvrilSmiles.exe
CERT-Vuln-Info.exe
Cogito_Ergo_Sum.exe
Complicated.exe
Download.exe
IAmWiThYoU.exe
MSO-Patch-0035.exe
MSO-Patch-0071.exe
Readme.exe
Resume.exe
Singles.exe
Sk8erBoi.exe
Sophos.exe
Transcripts.exe
Two-Up-Secretly.exe

Il n'est pas nécessaire de double-cliquer sur la pièce jointe pour devenir infecté car ce ver peut exploiter une faille de sécurité présente dans Microsoft Internet Explorer, Outlook et Outlook Express. Afin d'empêcher la réinfection, les utilisateurs de Microsoft Outlook et de Outlook Express devront installé le correctif suivant disponible à partir de Microsoft :
http://www.microsoft.com/technet/security/bulletin/MS01-027.asp
(Ce correctif adresse de nombreuses failles présentes dans les logiciels de Microsoft, incluant celle exploitée par ce ver.)

W32/Avril-A essaie de se propager sur les réseaux en se copiant sous un nom aléatoire dans le dossier racine ou le dossier RECYCLED des lecteurs partagés. Le ver ajoute alors une ligne (par ex. "@win \RECYCLED\nomaléatoire.exe") dans le fichier autoexec.bat pour s'exécuter sur les machines distantes. Le ver est aussi capable de s'envoyer aux utilisateurs ICQ et de se propager via mIRC.