15 stycznia 2003

I-Worm.Merkur - uruchamia konia trojańskiego

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail, przy użyciu sieci P2P oraz kanałów IRC. Ma postać pliku PE EXE o rozmiarze około 45 KB i powstał przy pomocy języka programowania Visual Basic.

Zainfekowane wiadomości wyglądają następująco:

Temat: Update your Anti-virus Software

Nazwa załącznika jest wybierana spośród następujących możliwości:

  • AVupdate.exe
  • taskman.exe
  • uninstall.exe

Treść wiadomości:

Here is a patch for your AV software, it will cover all the latest out breaks of worms ect (worms as in virus not earth worms! lol)

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik.

Instalacja

Podczas instalacji robak tworzy następujące kopie:

  • c:\WINDOWS\taskman.exe
  • c:\AutoExec.exe
  • c:\Windows\System\AVupdate.exe
  • c:\Program Files\uninstall.exe
  • c:\Windows\Notepad.exe
  • c:\windows\screensaver.exe

Dla pliku "AVUpdate.exe" w rejestrze systemowym tworzony jest klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
AVupdate = c:\Windows\System\AVupdate.exe

Powyższe nazwy są zapisane "na sztywno" w kodzie wirusa i z tego powodu tworzenie kopii nie powiedzie się jeżeli odpowiednie foldery nie istnieją na dysku atakowanego komputera.

Rozprzestrzenianie - poczta elektroniczna

Robak wysyła zainfekowane wiadomości e-mail do wszystkich użytkowników zapisanych w książce adresowej programu MS Outlook.

Rozprzestrzenianie - kanały IRC

Robak tworzy pliki "c:\mIRC\script.ini" oraz "c:\mIRC\Program Files\script.ini" zawierające komendy IRC, które wysyłają do wszystkich użytkowników przyłączających się do zainfekowanego kanału wiadomość:

Hi want a cool screen saver?

oraz zainfekowany plik "screensaver.exe".

Rozprzestrzenianie - sieci P2P

Robak umieszcza swoje kopie we współdzielonych folderach systemów Kazaa, eDonkey oraz BearShare:

  • c:\program files\kazaa\my shared folder\IPspoofer.exe
  • c:\program files\bearshare\shared\IPspoofer.exe
  • c:\program files\eDonkey2000\incoming\IPspoofer.exe
  • c:\program files\kazaa\my shared folder\Virtual Sex Simulator.exe
  • c:\program files\bearshare\shared\Virtual Sex Simulator.exe
  • c:\program files\eDonkey2000\incoming\Virtual Sex Simulator.exe

Koń trojański

Robak wyposażony jest w konia trojańskiego, który usuwa wszystkie pliki posiadające rozszerzenia *.jpg, *.mpg, *.bmp oraz *.avi, zapisane w następujących folderach:

  • c:\program files\Kazaa\My Shared Folder\
  • c:\program files\bearshare\shared\
  • c:\program files\eDonkey2000\incoming\

Trojan zawierający wymagane komendy zapisywany jest pod nazwą c:\pr0n.bat, po czym następuje jego uruchomienie i usunięcie.

Funkcje dodatkowe

Robak wyświetla następujące komunikaty:

  • 31 grudnia:

    Win32.mercury@mm
    ...Saving the world before bed time...

  • 16 lutego:

    Win32.mercury@mm
    ...Win32.mercury Coded by Industry @ ANVXgroup...

  • 2 kwietnia:

    Win32.mercury@mm
    ...Shout out to Every one @ Indovirus...