MERKUR, destructivo y de propagación masiva vía Correo, Chat y redes compartidas, borra archivos.

© Jorge Machado  Lima-Perú

W32/Merkur@MM

Merkur es un gusano reportado el 28 de Octubre del 2002 de alta propagación masiva a través de  mensajes de correo, vía el IRC (Internet Chat Relay) y redes de archivos compartidos KazaaBearShare y eDonkey.

Se propaga en un mensaje de correo con uno de dos archivos anexados: TASKMAN.EXE o AVUPDATE.EXE, aparentando ser un parche para un antivirus.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP, ha sido desarrollado en lenguaje Visual Basic y tiene 44 KB de extensión 

Al ser ejecutado el archivo infectado, el gusano se sobre-escribe estos archivos del sistema: 

C:\WINDOWS\taskman.exe 
C:\WINDOWS\avpupdate.exe 

De igual modo se auto-copia a: 

C:\AutoExec.exe 
C:\WINDOWS\screensaver.exe 
C:\WINDOWS\SYSTEM\AVupdate.exe 
C:\Program Files\uninstall.exe 

Para activarse la próxima vez que se inicie el sistema, genera la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"AVupdate" = "C:\WINDOWS\SYSTEM\AVupdate.exe"

Los payloads de este gusano son:

Tomando control de las funciones de las librerías MAPI (Multipurpose Internet Mail Extensions) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Infecta a través de las redes de archivos compartidos P2P y para lo cual se autocopia a estas carpetas con los siguientes nombres:

c:\program files\kazaa\my shared folder\IPspoofer.exe 
c:\program files\bearshare\shared\IPspoofer.exe 
c:\program files\eDonkey2000\incoming\IPspoofer.exe 
c:\program files\kazaa\my shared folder\Virtual Sex Simulator.exe 
c:\program files\bearshare\shared\Virtual Sex Simulator.exe 
c:\program files\eDonkey2000\incoming\Virtual Sex Simulator.exe 

Para contagiar por medio del software mIRC de Chat se auto-copia como SCREENSAVER.EXE

También copia un archivo SCRIPT.INI en la carpetas C:\MIRC y C:\Archivos de programa\MIRC y sobre escribe todos los archivos existentes en las mismas.

Finalmente, este nocivo gusano libera y ejecuta el archivo p0rn.bat, el cual borra los archivos de las carpetas P2P (Peer to Peer) que tengan las siguientes extensiones: 

*.jpg 
*.mpg 
*.bmp 
*.avi 

Dentro de código viral se puede leer:

(c) Merkur 2002

PER ANTIVIRUS® versión 7.7 con registro de virus al 28 de Octubre del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS