Robak zwykle pojawia się w postaci załącznika do e-maila o jednym z poniższych tytułów:

Fw: Prohibited customers...

Fwd: Re: Reply on account for Incorrect MIME-header

Treść takiej wiadomości zawierała będzie informacje, sugerujące, iż załącznik jest programem, gwarantującym dostęp do zasobów poświęconych wokalistce Avril Lavigne lub też patchem, usuwającym groźny błąd w jednym z produktów Microsoftu. Jednak nawet jeśli użytkownik nie da się zwieść treści wiadomości i nie uruchomi załącznika, W32.Lirva.A może się uaktywnić - robak wykorzystuje znany już od dawna błąd w zabezpieczeniach przeglądarki Internet Explorer, który sprawia, iż niektóre załączniki uruchamiają się automatycznie.

Pierwszym etapem działania "insekta" jest wyłączenie wszelkiego aktywnego oprogramowania zabezpieczającego - czyli aplikacji antywirusowych oraz firewalli. Następnie rozpoczyna od masowe rozsyłanie swoich kopii - dystrybuuje się za pośrednictwem programów: Outlook, ICQ, KaZaA, sieci IRC oraz w sieci lokalnej.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

7, 11 i 25 dnia każdego miesiąca uaktywnia się dodatkowa funkcja robaka - będzie on otwierał przeglądarkę internetową i łączył się ze stroną www.avril-lavigne.com. Jeśli w danej chwili nie będzie aktywne żadne połączenie z Internetem, robak uaktywni połączenie dial-up.

Aby usunąć W32.Lirva.A, należy zaopatrzyć się w najnowsze uaktualnienia do programu antywirusowego, przeprowadzić kompleksowe skanowanie systemu i usunąć wszystkie kopie robaka.

Patcha, usuwającego omówiony wyżej błąd w Internet Explorerze, można znaleźć tutaj:

http://www.microsoft.com/technet/security/bulletin/MS01-020.asp