Le virus Lirva connaît une propagation importante. 08/01/2003

Il se propage par email, IRC, ICQ et KaZaA en se faisant passer pour un patch de sécurité ou un fichier en rapport avec la chanteuse Avril > Lavigne. Une variante de ce virus connaît aussi une diffusion importante et est capable de se propager accompagnée d'un fichier copié sur l'ordinateur de sa victime.

D'autres variantes étant susceptibles d'apparaître et de se répandre rapidement, une vigilance particulière est recommandée car durant les premières heures suivant son apparition une variante peut ne pas être détectée même par un antivirus à jour dans ses définitions.

En cas > d'infection ou en cas de doute, un utilitaire gratuit (Symantec) est
disponible pour rechercher et éliminer les principales variantes du virus.

Le virus exploite une vulnérabilité IFRAME des navigateurs Internet Explorer 5.01 et 5.5 non à jour dans leurs correctifs (MS01-020) pour s'exécuter automatiquement à l'ouverture du message ou lors de son affichage dans la fenêtre de prévisualisation des logiciels Outlook ou Outlook Express. L'entête du message étant modifié, la pièce jointe est généralement invisible dans le cas des logiciels de messagerie Outlook.

Si le fichier joint est exécuté, le virus se copie sur le disque dur sous des noms aléatoires, puis extrait les adresses emails contenues dans les fichiers .DBX (Outlook Express), .EML (Outlook Express Mail), .IDX, .MBX (Eudora), .NCH (Outlook Express News), .TBB (Windows Office Toolbar Button) ainsi que le carnet d'adresses Windows (.WAB) et les pages web présents sur le disque pour s'y envoyer automatiquement. Les messages contaminés ne comportent généralement aucun destinataire dans le champ "A:" ni "Cc:", ou simplement l'expression "recipient list not shown:" dans le champ "Cc:".

FixLirva ( 167Ko) : détecte et élimine les virus Lirva.A et Lirva.C.