Według informacji podanej przez fińską firmę F-Secure, worm W32/Lirva rozprzestrzenia się uzyskując adresy z różnych plików przechowywanych na dysku twardym komputera, i wysyłając siebie pod te adresy w formie wykonywalnego załącznika do poczty elektronicznej.

W wierszu TEMAT zawarte są teksty: "Avril Lavigne - the best", "Reply on account for IIS-Security" oraz "According to Daos Summit".

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Poza przechwytywaniem haseł, worm uruchamia - w 7, 11 i 24 dniu miesiąca - Internet Explorer, łączy się z ośrodkiem webowym Avril Lavigne i wyświetla kolorowa grafikę na zainfekowanym komputerze z tekstem:

"Avril_Lavigne_Let_Go - My_mouse ;) 2002 © Otto von Gutenberg".

Robak zawarty jest w załączniku występującym pod różnymi nazwami: AvrilSmiles.exe, AvrilLavigne.exe, resume.exe i Readme.exe. Prezentuje się także jako łatki Microsoftu zawarte w załącznikach o nazwie MSO-Patch-0071.exe i MSO-Patch-0035.exe.

Lirva wykorzystuje dobrze znaną lukę w przeglądarce Internet Explorer i aplikacjach pocztowych Outlook i Outlook Express. Usterka ta pozwala na uruchomienie pliku wykonywalnego bez udziału użytkownika, w czasie otwierania przesyłki pocztowej lub używania mechanizmu preview Outooka. Microsoft udostępnił łatki likwidujące tę lukę.

Oprócz poczty Lirva jest zdolny do rozprzestrzeniania się przez sieci komputerowe drogą kopiowania się do współdzielonych katalogów na innych komputerach. Może także rozprzestrzeniać się przez sieci IRC.

Nowy robak uzyskał niski stopień zagrożenia u Symanteca i średni w Network Associates.