• 解决是名称为一个组很小,可下载*公用事业设计用于去除和撤消所作的改变某些病毒、特洛伊木马和蠕虫。

    他们终止任何病毒的流程和重置任何注册键的病毒变化。 现有的感染可以清理迅速和容易,无论是在各个工作站和网络,有很大数量的计算机。

    W32/艾薇儿-是一个互联网虫,副本本身成为Windows系统上的文件夹使用随机的名字,并设置以下注册条目运行时自动启动Windows:

    HKLMSoftwareMicrosoftWindowsCurrentversion

    RunAvril儿-缪斯=randomname.exe

    下面的注册条目也创建:

    HKLMSoftwareOvGAvril儿=做

    HKLMSoftwareOvGAvril LavignePSW木=1

    W32/艾薇儿-一滴本身成的KaZaA文件夹中的一个文件名下文所示,创建文件avril-ii。inf的。

    蜗杆终止抗病毒产品和下降的几个副本本身上的硬盘随机的名字。

    在第7次、第11次和第24的任何个月,W32/艾薇儿-一会打开Microsoft Internet Explorer www.avril-lavigne.com显示颜色中的省略号中的屏幕显示"AVRIL_LAVIGNE_LET_GO-MY_MUSE:)2002年(c)奥托*冯*古腾堡"在左上角的屏幕上。

    蠕虫可以缓存密码发送到俄罗斯的电子邮件地址。

    W32/艾薇儿-一个传播通过发送本身的电子邮件地址收集到的DBX,MBX,WAB、HTML、EML,HTM,TBB,SHTML的,去和IDX文件,储存在listrecp.dll中。

    电子邮件将具有以下特点:

    主题行随机选择从以下一个10:

    F:艾薇儿-好的

    一波段:禁止客户...

    前:录取过程

    前:重新:答复对帐户的不正确的MIME header

    重新:根据Dao首脑会议

    再:ACTR/ACCELS改编

    Re:队奥乔免费会员资格

    重新:答复对帐户面-安全漏洞

    重新:答复对帐户IIS-安全

    重新:房地产塞

    消息体选择从3个选择:

    "艾薇迷订阅

    FanList承认你要在2003年艾薇儿

    流行榜颁奖典礼仪式

    投票给我带你!

    入学形式附着下面"

    "限制的区域反应小组(RART)

    附件发送给目的是复盖

    开始的地址在0000:HH4F

    为防止进一步的缓冲区溢出攻击

    申请储蓄加补助门诊体贴"

    "微软已经确定了一个安全漏洞

    Microsoft IIS4.0和5.0

    这就是取消了以前发布的修补程序。

    客户已经适用于修补程序已经受到保护,

    并不需要采取额外行动。

    Microsoft强烈敦促所有客户使用IIS4.0和5.0

    尚未这样做的适用贴片。

    贴也提供给订阅名单的软件技术支持:"

    附件一的下:

    AvrilLavigne.exe

    AvrilSmiles.exe

    CERT-Vuln-Info.exe

    Cogito_Ergo_Sum.exe

    Complicated.exe

    Download.exe

    IAmWiThYoU.exe

    MSO-Patch-0035.exe

    MSO-Patch-0071.exe

    Readme.exe

    Resume.exe

    Singles.exe

    Sk8erBoi.exe

    Sophos.exe

    Transcripts.exe

    Two-Up-Secretly.exe

    W32/艾薇-B是一个互联网虫传播通过电子邮件。 W32/艾薇-B是一个扩展的变W32/艾薇-A.信息的通用功能的W32/艾薇-B见说明W32/艾薇-A.

    W32/艾薇-B的不同之处W32/艾薇儿-一如下。

    本格式发送电子邮件已更改如下:

    主题线以下一16:

    F:艾薇儿-图攻击!

    F:F.M.陀思妥耶夫斯基的"罪行和惩罚"

    F:重定向错误的通知

    前:重新:U要求艾薇儿的生物吗?

    前:重新:答复对帐户的不正确的MIME header

    Ff:RFC-0245说明书的要求...

    Ff:RFC-0841说明书的要求...

    重新:根据清除的声明

    再:ACTR/ACCELS改编

    再:Brigada奥乔免费会员资格

    重新:哈家庭旅馆qualque cosa夫人?

    再:IREX承认你要在2003年粮食安全评价股

    重新:青年成就

    重新:答复对帐户面-安全漏洞

    重新:答复对帐户IIS-违反安全(FTP)

    重新投票的老年人的主人-不要错过!

    消息文本可含有一个以下4替代品,但他们可能会跳过的,因此不包括:

    "艾薇儿-图攻击!

    投票fo4r复杂!

    投票fo4r Sk8er博伊!

    投票fo4r我和你在一起!

    图攻击活动的清单:"

    "限制的区域反应小组(RART)

    附件发送给目的是复盖

    开始的地址在0000:HH4F

    为防止进一步的缓冲区溢出攻击应用储蓄加补助门诊体贴"

    "网络的同事每周报告:

    微软已经确定了一个安全漏洞Microsoft

    IIS4.0和5.0,这是消除由一个以前发布的修补程序。

    客户已经适用于修补程序已经受到保护,

    对脆弱性和不需要采取额外行动。

    Microsoft强烈敦促所有客户使用IIS4.0和5.0谁

    尚未这样做的适用贴片。

    贴也提供给订阅名单的软件技术支持:"

    "艾薇儿-好的

    艾薇儿的知名度增加:>

    因此:第一,投票TRL为我跟妳!

    下一个,更新你的照片数据库的!

    图攻击活动的清单。>.>"

    附件执行一项以下21:

    ADialer.exe

    ALavigne.exe

    AvrilLavigne.exe

    AvrilSmiles.exe

    BioData.exe

    CERT-Vuln-Info.exe

    Cogito_Ergo_Sum.exe

    Complicated.exe

    EntradoDePer.exe

    IAmWiThYoU.exe

    MSO-Patch-0035.exe

    MSO-Patch-0071.exe

    Phantom.exe

    Readme.exe

    Resume.exe

    SiamoDiTe.exe

    Sk8erBoi.exe

    Sophos.exe

    Transcripts.exe

    TrickerTape.exe

    Two-Up-Secretly.exe

    蜗杆,也可能附上一TXT,HTM,医生或HTML文件的电子邮件从个人文件夹的用户。

    W32/艾薇-B试图更新自己的网页,并且还试图为下一个后门木马(显然背孔2K)由网上运行的用户的计算机。 在编写本文时相应的网址是不可用。 蜗杆将下载到后门木马bo2k.exe 并设定如下注册条目:

    HKLMLSoftwareMicrosoftWindowsCurrentversionrunsocketlistener=

    bo2k.exe

    W32/艾薇-B滴个不同版本的文字的文件avril-ii。inf并发送的缓存密码不同的电子邮件地址。

    有效载荷也已经略有改变,在该案文显示在左上角的屏幕是现在"AVRIL_LAVIGNE_LET_GO-MY_MUSE:)投票对于我和你在一起。

    W32/艾薇-C是一种蠕虫的传播,在地方网络(见W32/艾薇儿-一个进一步的信息)和上互联网发送的电子邮件到电子邮件地址收集到的DBX,MBX,WAB、HTML、EML,HTM,ASP和SHTML文件。 发送的电子邮件具有以下特点:

    主题线以下之一:

    固:IREX领域说明

    再:ACCELS奖结果,2003年

    再:艾薇儿球迷将摇滚你

    F:艾薇儿-好的

    重新:仿古的主题

    再:ACTR/ACCELS改编

    消息文本的选择下列三个选项:

    "教育的目的

    艾薇迷订阅

    我希望你最甜蜜的事情"

    "限制的区域反应小组(RART)

    附件发送到是真的好:-)

    做得好!

    SMTP届会议的错误#450:服务没有准备好"

    "

  • को हल करने के लिए नाम है का एक सेट, डाउनलोड Sophos उपयोगिताओं के लिए बनाया गया हटाने और पूर्ववत द्वारा किए गए परिवर्तनों कुछ वायरस, Trojans और कीड़े.

    वे समाप्त कर किसी भी वायरस प्रक्रियाओं और रीसेट किसी भी रजिस्ट्री कुंजियों है कि वायरस को बदल दिया है । मौजूदा संक्रमण साफ किया जा सकता है जल्दी और आसानी से, दोनों पर अलग-अलग कार्यस्थानों और नेटवर्क की बड़ी संख्या के साथ कंप्यूटर.

    W32/Avril-एक है एक इंटरनेट का कीड़ा है कि प्रतियां ही में Windows सिस्टम फ़ोल्डर का उपयोग कर एक यादृच्छिक नाम और सेट निम्न रजिस्ट्री प्रविष्टि को चलाने के लिए खुद को स्वचालित रूप से जब विंडोज शुरू होता है:

    HKLMSoftwareMicrosoftWindowsCurrentversion

    RunAvril Lavigne - सरस्वती = randomname.exe

    निम्न रजिस्ट्री प्रविष्टियों को भी कर रहे हैं बनाया:

    HKLMSoftwareOvGAvril Lavigne=किया

    HKLMSoftwareOvGAvril LavignePSW-Trojan=1

    W32/Avril-एक बूंदों में खुद को KaZaA फ़ोल्डर के साथ एक फ़ाइल नाम नीचे दिखाया गया है और बनाता है फ़ाइल avril-ii.inf.

    कीड़ा समाप्त हो जाता एंटी-वायरस उत्पादों और बूंदों की कई प्रतियां पर खुद के हार्ड डिस्क के साथ यादृच्छिक नाम है ।

    पर 7 वीं, 11 वीं और 24 के किसी भी महीने में, W32/Avril-एक खुल जाएगा माइक्रोसॉफ्ट के इंटरनेट एक्सप्लोरर के लिए www.avril-lavigne.com, प्रदर्शन रंग ellipses के बीच में स्क्रीन और प्रदर्शन "AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) ओटो वॉन Gutenberg" शीर्ष बाएं कोने में स्क्रीन के ।

    कीड़ा भेज सकते हैं कैश्ड पासवर्ड, ईमेल पता.

    W32/Avril-एक फैलता भेजने के द्वारा अपने आप के लिए ईमेल पते इकट्ठा DBX से, MBX, WAB, HTML, EML, एचटीएम, TBB, SHTML, NCH और IDX फ़ाइलों में संग्रहीत है, listrecp.dll है ।

    ईमेल जाएगा निम्नलिखित विशेषताएं हैं:

    विषय पंक्ति - बेतरतीब ढंग से चयनित निम्न में से एक से 10:

    Fw: Avril Lavigne - सबसे अच्छा

    Fw: निषिद्ध ग्राहकों...

    Fwd: पुन: प्रवेश प्रक्रिया

    Fwd: पुन: पर उत्तर खाते के लिए गलत MIME-हैडर

    पुन: अनुसार करने के लिए Daos शिखर सम्मेलन

    पुन: ACTR/ACCELS Transcriptions

    पुन: ब्रिगेड Ocho नि: शुल्क सदस्यता

    पुन: पर उत्तर खाते के लिए IFRAME-सुरक्षा उल्लंघन

    पुन: उत्तर खाते पर IIS के लिए-सुरक्षा

    पुन: अचल संपत्ति सवार

    संदेश के शरीर से चुना 3 विकल्प:

    "Avril प्रशंसकों सदस्यता

    FanList मानते हैं आप में लेने के लिए Avril Lavigne 2003

    बिलबोर्ड पुरस्कार समारोह

    वोट के लिए मैं तुम्हारे साथ हूँ!

    प्रवेश फार्म नीचे संलग्न"

    "प्रतिबंधित क्षेत्र रिस्पांस टीम (RART)

    अनुलग्नक में आप के लिए भेजा करने का इरादा है अधिलेखित

    शुरू में पता 0000:HH4F

    से रोकने के लिए आगे बफर अतिप्रवाह हमलों

    लागू MSO-पैच"

    "Microsoft पहचान की है में एक सुरक्षा भेद्यता

    Microsoft® IIS 4.0 और 5.0

    कि समाप्त हो रहा है एक पहले से जारी पैच.

    है, जो ग्राहकों को लागू किया जाता है कि पैच रहे हैं पहले से ही सुरक्षित है

    और लेने की जरूरत नहीं है अतिरिक्त कार्रवाई की है ।

    माइक्रोसॉफ्ट दृढ़ता से आग्रह सभी ग्राहकों का उपयोग IIS 4.0 और 5.0

    है, जो पहले से ही ऐसा नहीं किया जाता तो, लागू करने के लिए पैच तुरंत.

    पैच भी प्रदान की जाती है के लिए सदस्यता सूची Microsoft®तकनीक का समर्थन:"

    संलग्न फाइल - निम्न में से एक:

    AvrilLavigne.exe

    AvrilSmiles.exe

    CERT-Vuln-Info.exe

    Cogito_Ergo_Sum.exe

    Complicated.exe

    Download.exe

    IAmWiThYoU.exe

    MSO-Patch-0035.exe

    MSO-Patch-0071.exe

    Readme.exe

    Resume.exe

    Singles.exe

    Sk8erBoi.exe

    Sophos.exe

    Transcripts.exe

    Two-Up-Secretly.exe

    W32/Avril-बी है एक इंटरनेट का कीड़ा जो ईमेल के माध्यम से फैलता है. W32/Avril-बी के एक बढ़ाया संस्करण के साथ W32/Avril-ए पर जानकारी के लिए सामान्य सुविधाओं के साथ W32/Avril-बी का विवरण देखें W32/Avril-ए

    W32/Avril-बी से अलग है W32/Avril-एक के रूप में इस प्रकार है ।

    के प्रारूप भेजा ईमेल के लिए बदल गया है निम्नलिखित:

    विषय पंक्ति में - निम्न में से 16:

    Fw: Avril Lavigne - चार्ट पर हमला!

    Fw: F. M. Dostoyevsky "अपराध और सजा"

    Fw: पुनर्निर्देशन त्रुटि अधिसूचना

    Fwd: पुन: यू का अनुरोध किया Avril Lavigne जैव है?

    Fwd: पुन: पर उत्तर खाते के लिए गलत MIME-हैडर

    Fwd: आरएफसी-0245 विनिर्देशन का अनुरोध किया...

    Fwd: आरएफसी-0841 विनिर्देशन का अनुरोध किया...

    पुन: अनुसार करने के लिए शुद्ध के बयान

    पुन: ACTR/ACCELS Transcriptions

    पुन: Brigada Ocho नि: शुल्क सदस्यता

    पुन: हा perduto qualque cosa सिगनोरा?

    पुन: IREX मानते हैं आप में लेने के लिए FSAU 2003

    पुन: जूनियर उपलब्धि

    पुन: पर उत्तर खाते के लिए IFRAME-सुरक्षा उल्लंघन

    पुन: उत्तर खाते पर IIS के लिए-सुरक्षा भंग (TFTP)

    पुन: मतदान वरिष्ठ नागरिकों के स्वामी - यह याद नहीं है!

    संदेश पाठ शामिल कर सकते हैं निम्न में से एक 4 विकल्प है, लेकिन वे हो सकता है को छोड़ दिया और इसलिए शामिल नहीं:

    "AVRIL LAVIGNE - चार्ट पर हमला!

    वोट fo4r जटिल!

    वोट fo4r Sk8er बोई!

    वोट fo4r मैं तुम्हारे साथ हूँ!

    चार्ट पर हमला सक्रिय सूची:"

    "प्रतिबंधित क्षेत्र रिस्पांस टीम (RART)

    अनुलग्नक में आप के लिए भेजा करने का इरादा है अधिलेखित

    शुरू में पता 0000:HH4F

    से रोकने के लिए आगे बफर अतिप्रवाह हमलों को लागू MSO-पैच"

    "नेटवर्क एसोसिएट्स साप्ताहिक रिपोर्ट:

    Microsoft पहचान की है में एक सुरक्षा भेद्यता Microsoft®

    IIS 4.0 और 5.0 है कि सफाया कर दिया है एक पहले से जारी पैच.

    है, जो ग्राहकों को लागू किया जाता है कि पैच रहे हैं पहले से ही सुरक्षित है

    के खिलाफ जोखिम और की जरूरत नहीं है अतिरिक्त क्रिया करने के लिए.

    माइक्रोसॉफ्ट दृढ़ता से आग्रह सभी ग्राहकों का उपयोग IIS 4.0 और 5.0 जो

    पहले से ही नहीं किया तो लागू करने के लिए पैच तुरंत.

    पैच भी प्रदान की जाती है के लिए सदस्यता सूची Microsoft® तकनीक का समर्थन:"

    "AVRIL LAVIGNE - सबसे अच्छा

    Avril Lavigne की लोकप्रियता बढ़ जाती है:>

    तो: सबसे पहले, वोट पर टीआरएल के लिए मैं कर रहा हूँ के साथ यू!

    अगले अद्यतन में अपने pics डेटाबेस!

    चार्ट पर हमला सक्रिय सूची है।>.>"

    अनुलग्नक exe - निम्न में से 21:

    ADialer.exe

    ALavigne.exe

    AvrilLavigne.exe

    AvrilSmiles.exe

    BioData.exe

    CERT-Vuln-Info.exe

    Cogito_Ergo_Sum.exe

    Complicated.exe

    EntradoDePer.exe

    IAmWiThYoU.exe

    MSO-Patch-0035.exe

    MSO-Patch-0071.exe

    Phantom.exe

    Readme.exe

    Resume.exe

    SiamoDiTe.exe

    Sk8erBoi.exe

    Sophos.exe

    Transcripts.exe

    TrickerTape.exe

    Two-Up-Secretly.exe

    कीड़ा भी देते हैं एक TXT, एचटीएम, डॉक्टर या HTML फ़ाइल से ईमेल करने के लिए व्यक्तिगत फ़ोल्डर के लिए उपयोगकर्ता है ।

    W32/Avril-बी की कोशिश करता है अद्यतन करने के लिए ही वेब से और भी कोशिश करता है डाउनलोड करने के लिए एक पिछले दरवाजे ट्रोजन (जाहिरा तौर पर वापस छिद्र 2K) वेब से और इसे चलाने के लिए उपयोगकर्ता के कंप्यूटर पर. पर इस लेखन के समय इसी यूआरएल से अनुपलब्ध था. कीड़ा होगा डाउनलोड की पिछले दरवाजे ट्रोजन में bo2k.exe सेट और निम्न रजिस्ट्री प्रविष्टि:

    HKLMLSoftwareMicrosoftWindowsCurrentversionrunsocketlistener =

    bo2k.exe

    W32/Avril-बी बूँदें एक अलग संस्करण के लिए पाठ फ़ाइल avril-ii.inf भेजता है और कैश की गई पासवर्ड के लिए अलग-अलग ईमेल पते.

    पेलोड भी थोड़ा बदल गया है, में है कि पाठ प्रदर्शित शीर्ष बाएं कोने में स्क्रीन के अब "AVRIL_LAVIGNE_LET_GO - MY_MUSE:) वोट के लिए मैं तुम्हारे साथ हूँ.

    W32/Avril-सी एक कीड़ा फैलता है कि स्थानीय नेटवर्क में (देखें W32/Avril-एक आगे की जानकारी के लिए) और के द्वारा इंटरनेट पर ईमेल भेजने के लिए ईमेल पते इकट्ठा DBX से, MBX, WAB, HTML, EML, एचटीएम, एएसपी और SHTML फ़ाइलें. भेजे गए ईमेल में निम्नलिखित विशेषताएं हैं:

    विषय पंक्ति में - निम्न में से एक:

    Fw: IREX क्षेत्रों का विवरण

    पुन: ACCELS पुरस्कार के लिए परिणाम 2003

    पुन: Avril प्रशंसकों तुम रॉक

    Fw: Avril Lavigne - सबसे अच्छा

    Re: प्राचीन विषयों

    पुन: ACTR/ACCELS Transcriptions

    संदेश पाठ - से चुना निम्न तीन विकल्प हैं:

    "शिक्षा का उद्देश्य

    Avril प्रशंसकों सदस्यता

    मैं इच्छा है कि आप मधुर बात"

    "प्रतिबंधित क्षेत्र रिस्पांस टीम (RART)

    अनुलग्नक में आप के लिए भेजा वास्तव में अच्छा है :-)

    अच्छी तरह से किया!

    SMTP सत्र त्रुटि #450: सेवा के लिए तैयार नहीं"

    "

  • Resolve is the name for a set of small, downloadable Sophos utilities designed to remove and undo the changes made by certain viruses, Trojans and worms.

    They terminate any virus processes and reset any registry keys that the virus changed. Existing infections can be cleaned up quickly and easily, both on individual workstations and over networks with large numbers of computers.

    W32/Avril-A is an internet worm that copies itself into the Windows system folder using a random name and sets following registry entry to run itself automatically when Windows starts up:

    HKLMSoftwareMicrosoftWindowsCurrentVersion

    RunAvril Lavigne - Muse = randomname.exe

    The following registry entries are also created:

    HKLMSoftwareOvGAvril Lavigne=Done

    HKLMSoftwareOvGAvril LavignePSW-Trojan=1

    W32/Avril-A drops itself into the KaZaA folder with one of the filenames shown below and creates the file avril-ii.inf.

    The worm terminates anti-virus products and drops several copies of itself onto the hard disk with random names.

    On the 7th, 11th and 24th of any month, W32/Avril-A will open up Microsoft Internet Explorer to www.avril-lavigne.com, display coloured ellipses in the middle of the screen and display "AVRIL_LAVIGNE_LET_GO - MY_MUSE:) 2002 (c) Otto von Gutenberg" in the top left corner of the screen.

    The worm can send cached passwords to a Russian email address.

    W32/Avril-A spreads by sending itself to email addresses gathered from DBX, MBX, WAB, HTML, EML, HTM, TBB, SHTML, NCH and IDX files, stored in listrecp.dll.

    The emails will have the following characteristics:

    Subject line - randomly selected from one of the following 10:

    Fw: Avril Lavigne - the best

    Fw: Prohibited customers...

    Fwd: Re: Admission procedure

    Fwd: Re: Reply on account for Incorrect MIME-header

    Re: According to Daos Summit

    Re: ACTR/ACCELS Transcriptions

    Re: Brigade Ocho Free membership

    Re: Reply on account for IFRAME-Security breach

    Re: Reply on account for IIS-Security

    Re: The real estate plunger

    Message body - chosen from 3 alternatives:

    "Avril fans subscription

    FanList admits you to take in Avril Lavigne 2003

    Billboard awards ceremony

    Vote for I'm with you!

    Admission form attached below"

    "Restricted area response team (RART)

    Attachment you sent to is intended to overwrite

    start address at 0000:HH4F

    To prevent from the further buffer overflow attacks

    apply the MSO-patch"

    "Microsoft has identified a security vulnerability in

    Microsoft® IIS 4.0 and 5.0

    that is eliminated by a previously-released patch.

    Customers who have applied that patch are already protected

    and do not need to take additional action.

    Microsoft strongly urges all customers using IIS 4.0 and 5.0

    who have not already done so to apply the patch immediately.

    Patch is also provided to subscribed list of Microsoft®Tech Support:"

    Attached file - one of the following:

    AvrilLavigne.exe

    AvrilSmiles.exe

    CERT-Vuln-Info.exe

    Cogito_Ergo_Sum.exe

    Complicated.exe

    Download.exe

    IAmWiThYoU.exe

    MSO-Patch-0035.exe

    MSO-Patch-0071.exe

    Readme.exe

    Resume.exe

    Singles.exe

    Sk8erBoi.exe

    Sophos.exe

    Transcripts.exe

    Two-Up-Secretly.exe

    W32/Avril-B is an internet worm which spreads via email. W32/Avril-B is an extended variant of W32/Avril-A. For information on the generic features of W32/Avril-B see the description of W32/Avril-A.

    W32/Avril-B differs from W32/Avril-A as follows.

    The format of the sent email has changed to the following:

    Subject line - one of the following 16:

    Fw: Avril Lavigne - CHART ATTACK!

    Fw: F. M. Dostoyevsky "Crime and Punishment"

    Fw: Redirection error notification

    Fwd: Re: Have U requested Avril Lavigne bio?

    Fwd: Re: Reply on account for Incorrect MIME-header

    Fwd: RFC-0245 Specification requested...

    Fwd: RFC-0841 Specification requested...

    Re: According to Purge's Statement

    Re: ACTR/ACCELS Transcriptions

    Re: Brigada Ocho Free membership

    Re: Ha perduto qualque cosa signora?

    Re: IREX admits you to take in FSAU 2003

    Re: Junior Achievement

    Re: Reply on account for IFRAME-Security breach

    Re: Reply on account for IIS-Security Breach (TFTP)

    Re: Vote seniors masters - don't miss it!

    Message text - may contain one of the following 4 alternatives, but they might be skipped and hence not included:

    "AVRIL LAVIGNE - THE CHART ATTACK!

    Vote fo4r Complicated!

    Vote fo4r Sk8er Boi!

    Vote fo4r I'm with you!

    Chart attack active list:"

    "Restricted area response team (RART)

    Attachment you sent to is intended to overwrite

    start address at 0000:HH4F

    To prevent from the further buffer overflow attacks apply the MSO-patch"

    "Network Associates weekly report:

    Microsoft has identified a security vulnerability in Microsoft®

    IIS 4.0 and 5.0 that is eliminated by a previously-released patch.

    Customers who have applied that patch are already protected

    against the vulnerability and do not need to take additional action.

    Microsoft strongly urges all customers using IIS 4.0 and 5.0 who

    have not already done so to apply the patch immediately.

    Patch is also provided to subscribed list of Microsoft® Tech Support:"

    "AVRIL LAVIGNE - THE BEST

    Avril Lavigne's popularity increases:>

    SO: First, Vote on TRL for I'm With U!

    Next, Update your pics database!

    Chart attack active list .>.>"

    Attachment exe - one of the following 21:

    ADialer.exe

    ALavigne.exe

    AvrilLavigne.exe

    AvrilSmiles.exe

    BioData.exe

    CERT-Vuln-Info.exe

    Cogito_Ergo_Sum.exe

    Complicated.exe

    EntradoDePer.exe

    IAmWiThYoU.exe

    MSO-Patch-0035.exe

    MSO-Patch-0071.exe

    Phantom.exe

    Readme.exe

    Resume.exe

    SiamoDiTe.exe

    Sk8erBoi.exe

    Sophos.exe

    Transcripts.exe

    TrickerTape.exe

    Two-Up-Secretly.exe

    The worm may also attach a TXT, HTM, DOC or HTML file to the email from the Personal folder of the user.

    W32/Avril-B tries to update itself from the web and also tries to download a backdoor Trojan (apparently Back Orifice 2K) from the web and run it on the user's computer. At the time of this writing the corresponding URL was unavailable. The worm would download the backdoor Trojan into bo2k.exe and set the following registry entry:

    HKLMLSoftwareMicrosoftWindowsCurrentVersionRunSocketListener =

    bo2k.exe

    W32/Avril-B drops a different version of the text file avril-ii.inf and sends the cached passwords to different email addresses.

    The payload has also been changed slightly, in that the text displayed in the top left corner of the screen is now "AVRIL_LAVIGNE_LET_GO - MY_MUSE:) VOTE FOR I'm With YoU.

    W32/Avril-C is a worm that spreads in local networks (see W32/Avril-A for further information) and on the internet by sending emails to email addresses gathered from DBX, MBX, WAB, HTML, EML, HTM, ASP and SHTML files. The sent email has the following characteristics:

    Subject line - one of the following:

    Fw: IREX Fields Description

    Re: ACCELS Awards results for 2003

    Re: Avril Fans will rock you

    Fw: Avril Lavigne - the best

    Re: Antique themes

    Re: ACTR/ACCELS Transcriptions

    Message text - chosen from the following three options:

    "EDUCATIONAL PURPOSE

    Avril fans subscription

    I wish you the sweetest thing"

    "Restricted area response team (RART)

    Attachment you sent to is really good :-)

    Well done!

    SMTP session error #450: service not ready"

    "