Ormen har fått forskjellige navn - Avril, Lirva, Naith, med eller uten W32 eller WORM foran - og kommer i flere varianter. Den norske virusverneren Norman mener Lirva.A og Lirva.C er de mest aggressive. Den første har hatt stor spredning de siste to døgn, og den nye varianten Lirva.C har også begynt å spre seg raskt.
Ormen inviterer gjerne til å besøke nettstedet til den amerikanske tenåringssangerinnen Avril Lavigne, derav navnet, men kan også gi seg ut for å være en oppgradering fra Microsoft.
Den sprer seg som et vedlegg til e-post, men benytter også IRC-tjenester, ICQ og fildelingstjenesten Kazaa. Spredning via e-post er ikke avhengig av at man klikker på vedlegget, dersom mottakeren ennå ikke har tettet en sårbarhet i Outlook og Outlook Express som Microsoft tok seg av i mars 2001, og som gjør at vedlegg åpner seg selv straks mottakeren ser på meldingen.
Det verste skadeverket ved Lirva.A og Lirva.C er at begge leter seg fram til brannmurer og antivirus på offerets maskin, og sletter dem. Det vil si at dersom offeret rammes før antiviruset er oppdatert, står han uten forsvar for framtidige angrep.
Lirva.C forsøker også å laste ned bakdørsprogrammet BackOrifice fra en server i Kasakhstan. Ifølge Norman er denne serveren nå stengt.
Det anbefales å benytte Microsofts gratistjeneste for å oppgradere Outlook og Outlook Express, og sjekke at antiviruset er oppdatert.
