TrendMicro hat auch eine Beschreibung auf der Webseite.

Du solltest das Ding schnellstens loswerden. Denn wie TrendMicro berichtet:
"This worm, which runs on Windows 95, 98, ME, NT, 2000, and XP, also retrieves cached passwords and sends them to a specific email address. It also terminates certain antivirus programs."

Nach der "wurmkur" solltest du sämtliche Passwörter ändern.

> Nach der "wurmkur" solltest du sämtliche Passwörter ändern.

...und überhaupt damit aufhören, Outlook oder Outlook Express zu benutzen. Ich empfehle Mozilla Thunderbird.

Das Beste was gesagt werden darf.
Vorsicht bei unbekannten Absendern von e-mails
JMB (M 6770)

Aber jetzt mal im Ernst: Wie kann man sich einen Virus bzw. Wurm einfangen, der mehr als 2 Jahre alt ist (bekannt seit Januar 2003) und für den es mindestens genauso lange einen Patch von M$ gibt (betrifft den IE, der wie immer die Wurzel allen Übels ist...)?

Der Wurm "Lirva" ist übrigens recht schlau und verbreitet sich nicht nur per E-Mail, sondern auch über ICQ, IRC, Online-Tauschbörsen (z.B. KaZaa) und selbst in lokalen Netzwerken. Er breitet sich daher schnell aus und hat auch die lästige Eigenschaft, vorhandene Schutzsysteme wie Antiviren-Software oder Firewalls zu deaktivieren.

Daneben versucht der Wurm, Kennwörter der Einwahldialoge unter Windows zu lesen und über das Internet an den Virenautor zu senden. Jeweils am 7., 11. und 24. des Monats versucht der Wurm, die Website http://www.avril-lavigne.com aufzurufen (daher kommt auch der Name des Wurmes).

Nachricht bearbeitet (22.09.2005 18:13)

JMB (6770) schrieb:

> Vorsicht bei unbekannten Absendern von e-mails

Da viele der Würmer sich mittels der Adressbücher des befallenen Rechners verschicken und auch die (gefälschte) Absenderkennungen selbigen entnehmen, kann es durch aus sein, dass Du z.B. eine Mail von [email]Dirk.Wagner@AUGE.de[/email] bekommst, die den Wurm in sich trägt - aber nie auf meinem Rechner war.

In meinem Fall beträgt die Wahrscheinlichkeit, das die Mail nicht von mir kommt sogar 100% - Meine Auge-Adresse ist nur Eingangsbriefkasten - verschickt wird damit nichts...

Ciao

dirk

> In meinem Fall beträgt die Wahrscheinlichkeit, das die Mail
> nicht von mir kommt sogar 100% - Meine Auge-Adresse ist nur
> Eingangsbriefkasten - verschickt wird damit nichts...

Schade eigentlich! Wäre doch schön, wenn AUGE-Mitglieder diese E-Mail-Adresse auch verwenden würden...

Gerhard schrieb:

> Das klingt jetzt wie ein Vorwurf: Was man tun kann habe ich
> ganz sicher getan:
> 1. Alle (!) Patches von M$ installiert. (Das machen die eh
> per Abo)

Der Patch für den IE blockiert nur ein Sicherheitsleck im IE, aber er verhindert nicht völlig die Ausbreitung des Wurmes. Der ist ein EXE-Programm (irgendwie getarnt) und wenn man das anklickt oder sonstwie ausführt... bingo.

> 2. Eine SoftFirewall installiert (AVG) welche täglich (!) die
> Antivirussoftware updated.

Die Software-Firewall hilft wenig gegen Würmer. Ein aktualisierter Virenscanner schon eher, wenn er denn auch die E-Mails etc. scannt. Zum Glück haben wir jetzt ja auch einen Virenscanner auf dem AUGE-Mail-Server, der alle Mails auf Viren und Würmer checkt. Da dieser gut funktioniert, ist man zumindest bei unserem Mail-Server recht gut geschützt. Wenn man allerdings auch noch andere Mail-Server nutzt (oder nur einen Alias), dann muss man selber für den Schutz sorgen. Leider hat der Wurm die Eigenschaft, fast alle gängigen Virenscanner abzuschalten und damit den Schutz zu unterlaufen.

> 3. Eine Hardware Firewall installiert. (Netgear Router)

Hilft zwar gegen viele Angriffe, aber nicht unbedingt gegen Würmer (siehe oben), selbst wenn sie richtig konfiguriert ist.

> Trotzdem hat AVG den Virus gemeldet als ich den Virusscanner
> laufen ließ.

Also hast Du doch irgend etwas falsch gemacht

> > Der Wurm "Lirva"
>
> ist das ein anderer Name für meinen? Der heißt Naith
> dachtich

Ja, das Ding hat mehrere Namen. "Lirva" ist einfach "Avril" rückwärts.

> ist übrigens recht schlau und verbreitet
> > sich nicht nur per E-Mail, sondern auch über ICQ, IRC,
> > Online-Tauschbörsen (z.B. KaZaa)
> ICQund Kazaa oder andere Börsen verwende ich nicht. Was ist
> IRC?

IRC = Internet Relay Chat

> und selbst in lokalen
> > Netzwerken.

War der Rechner mal in irgendeinem Netzwerk, in dem evtl. andere befallene Rechner liefen? Das könnte die Quelle sein (natürlich auch WLAN).

> AVG läuft offensichtlich wie üblich - kann es trotzdem
> deaktiviert sein?

So gut kenne ich AVG nicht, aber wenn der Wurm clever ist, dann schafft er das.

> Jeweils am 7., 11. und 24. des Monats versucht der
> > Wurm, die Website http://www.avril-lavigne.com aufzurufen
> > (daher kommt auch der Name des Wurmes).
>
> ... und was macht er da?

Woher soll ich das wissen? Wahrscheinlich schaut er sich die Bilder an :->

Gerhard schrieb:
> Was der Wurm tut weiß ich also jetzt. Und dass ich ihn
> rauswerfen soll weiß ich auch...
> Aber wie geht das??? Bei Grisoft (Link siehe unten) stehen
> die Dateien um die es geht. Kann ich die einfach löschen oder
> ist dann das XP sowieso kaputt - und der Virus hockt in der
> Ecke und infiziert das neue XP
> sofort wieder?

Grisoft kenn' ich nicht und ich würde bei solchen Dingen eher auf die bekannteren Firmen wie McAfee oder Symantec vertrauen. Die bieten i.d.R. Programme an, um derartige Schadprogramme zu entfernen, siehe
bei Symantec. Noch besser ist der McAfee AVERT Stinger (ist auch Freeware, habe leider gerade keinen Link da, aber mit Google kein Problem), der gleich einen ganzen Haufen der verschiedensten Würmer entfernt.

Befehlszeilenparameter werden in der Befehlszeile angegeben:

also z.B.

c:\>FIXLIVRA.EXE /HELP /NOFIXREG /SILENT /MAPPED /START

Notwendig ist KEINER der Paramerter...

u.U. ist

c:\>FIXLIVRA.EXE /START

sinnvoll.

Es sollte aber reichen, die PRogrammdatei unter im Windows-Explorer doppelzuklicken...

Ciao

dirk

Gerhard schrieb:
> In der langen Liste welches Zeug das MacAfee Tool entfernt, ist Lirva/Naith/Avril nicht enthalten.

Ach ja? Schau doch mal auf diesen Link:

In der dritten Spalte ziemlich in der Mitte steht "W32/Lirva". Das ist der Wurm, den Du entfernen willst (wer lesen kann, ist klar im Vorteil).

Nachricht bearbeitet (23.09.2005 17:13)

Gerhard schrieb:

> Hallo Freunde - Danke
>
> zuerst habe ich mit Stinger den Wurm gekillt - Dann mit
> Symantec geprüft ob er noch da ist. Er war weg!
> Dann habe ich natürlich System Restore wieder eingeschaltet.
>

Sieg!!

>
> hierzu eine Frage: Verlangt war, S-R vor der Killeraktion
> abzuschalten, weil es sonst den Wurm restaurieren würde, da es
> ja routinemäßig beschädigte System-Dateien repariert. Warum tat
> es das nicht als der Wurm sich rein setzte und solche "Dateien
> beschädigte"?
>

Wenn man sich überlegt wie die Systemwiederherstellung arbeitet kann man sich das erklären. Es wird eine Kopie der Registry gespeichert. Neu installierte Programme tragen dann ihre Parameter in die Registry ein. Wenn dabei etwas schief geht kann man über die Systemwiederherstellung die alte Registry zurückholen.

Werden die Einträge, die der Wurm hinterlassen hat, entfernt, funktioniert er zunächst nicht mehr. Es könnte aber passieren das durch ein anderes Ereignis (fehlgeschlagene Installation) ein Restore der alten Registry ausgelöst wird. Dann hat man den Gesellen wieder drin.
Davon abgesehen entfernt man durch die Wiederherstellung eventuell auch einige Dinge, die man nicht entfernen wollte. Aber das wäre dann das kleinere Übel.

> 2. Frage: Hätte "System Restore" den Wurm nicht auch löschen
> müssen - wenn ich einen Restore Zeitpunkt vor der Infektion
> gewählt hätte?
>

Nicht ganz. Es würden nur die Einträge in der Registry zurückgesetzt. Wenn bei diesem Wiederherstellungspunkt der Virus noch nicht aktiv war, wäre er damit zunächst abgeschaltet. Aber die eigentlichen Schadprogramme sind noch nicht entfernt. Ein Klick auf die falsche .exe und das Ding installiert sich wieder.
Ausserdem nutzen die Viren meist noch andere Initialisierungsmechanismen. Sie speichern sich im System unter dem Namen einer bekannten Anwendung oder Systemfunktion ab. Die wird dann durch den ganz normalen Gebrauch des Betriebssystems gestartet. Die Einträge in der Registry sind dann auch schnell wieder drin. Es müssen also auch die Dateien gelöscht und gegebenenfalls durch die Originalprogramme ersetzt werden.

> Grüße von: Gerhard
>
> Nachtrag: Ist meine Softfirewall - falls sie der Wurm
> entmachtet hat - jetzt auch wieder OK? (Sie benimmt sich
> normal...)
>

Davon würde ich ausgehen. Bisher kenne ich nur Fälle in denen solche Programme durch den Wurm einfach ausgeschaltet wurden.

PS: Mir ist nicht bekannt ob die Systemwiederherstellung auch Dateien des Betriebssystems und Treiber sichert und wieder zurückkopiert. Ich habe mich da noch nicht so genau eingelesen. Wer weiss mehr?