Computersicherheitsunternehmen wie Symantec, Sophos oder McAfee warnen
vor dem Wurm Lirva.A, der bei den Mitteln seiner Verbreitung äußerst
vielseitig ist. Der Wurm macht per E-Mail, ICQ, IRC, KaZaA seine Runden
durch das Internet. Zusätzlich bedient sich Lirva.A auch offener
Netzwerkverbindungen, um weitere Systeme zu infizieren. Bei der
Verbreitung über E-Mail versucht der 32.766 Bytes große Wurm zusätzlich
eine altbekannte Sicherheitslücke im Outlook auszunutzen. Trifft Livra.A
auf ein alte, ungepachte Version der Software, so führt sich der
Schädling bereits aus, wenn der Benutzer die Nachricht noch nicht
geöffnet hat. http://securityresponse.symantec.com
Livra.A führt unterschiedliche Betreffzeilen und eine zufällig gewählte
Nachricht im Textfeld. Das Attachment ist eine .exe-Datei, deren
Bezeichnung sich allerdings ändern kann. Kommt der Wurm zur Ausführung
trägt er sich in die Registry und die Autoexec.bat ein, so dass das
Programm bei jedem Start des Computers zur Ausführung kommt.
Der Wurm überprüft ob der PC mit dem Internet verbunden ist. Besteht
keine Verbindung, so startet der Schädling eine
Standard-Einwahl-Prozedur. Livra.A versendet sich an alle Kontakte im
Outlook-Adressbuch sowie der ICQ-Buddylist. Zusätzlich legt der Wurm eine
Kopie von sich in einem File mit zufällig gewähltem Dateinamen im
KaZaA-Download-Verzeichnis an.
Der Wurm deaktiviert eine ganze Reihe von Sicherheitsfunktionen. Daneben
versucht das Programm die Kennwörter der Einwahldialoge unter Windows
95/98/98 SE/Me des Benutzers auszuspähen. Diese Informationen werden über
das Internet an den Virenschreiber übermittel. Jeweils am 7. 11. und 24.
des Monats versucht Livra.A den Browser zu starten und eine
Internetverbindung zur Webseite http://www.avril-lavigne.com aufzubauen