MERLIN: опасный червь появился в «диком виде»

MERLIN — деструктивный полиморфный вирус-червь, представляющий из себя VBS-скрипт и распространяющийся через Microsoft Outlook, сеть обмена файлами Gnutella и MIRC. Также заражает компьютеры в локальной сети.

При активизации создает 10000 директорий со случайными именами в корне на диске C:. В каждой из этих директорий создает одноименный текстовый файл, содержащий следующий текст:

Empty spaces — what are we waiting for
Abandoned places — I guess we know the score
Does anybody know what we are looking for
Inside my heart is breaking
My make-up may be flaking
But my smile still stays on
Whatever happens I’ll leave it all to chance
Does anybody know what we are living for
Outside the dawn is breaking
But inside in the dark I’m aching to be free
My soul is painted like the wings of butterflies
Memories of yesterday will grow but never die
I can fly — my friends
I have to find the will to carry on
cause the show must go on — I love you, eva!

Затем удаляет файл REGEDIT.EXE и предпринимает попытки скачать с http://fws.freewebspace.com файл CIH.EXE и запустить его на выполнение.

Через три дня после заражения компьютера червь отключает Windows Desktop и перезаписывает файл AUTOEXEC.BAT с инструкциями форматировать диск C: после следующей перезагрузки системы. После чего удаляет файлы USER.DAT и SYSTEM.DAT и перестартовывает Windows.

После первого выполнения скрипт модифицирует ситемный реестр. Затем перехватывает выполнение следующих файлов: .JS, .SHS, .HLP, .DOC, .BMP, .GIF, .JPG, .AVI, .MP3,.MPG.

Червь копирует себя под случайным именем в каталог Windows и создает файл AnarchyCookbook.HTML.

Затем червь анализирует локальные диски:

• если находит MIRC.INI, то создает или перезаписывает SCRIPT.INI с инструкциями посылать свои копии через MIRC при подключении инфицированного компьютера к IRC-каналу.
• если находит файл GNUTELLA.INI, то читает и модифицирует его с тем, чтобы игнорировать файлы с расширениями VBS и HTM при соединении с другими пользователями Gnutella. Также записывает инструкции принимать файлы с любым из следующих расширений: TXT, MP3, MP2, MP1, MPG, VQF, AVI, MPEG, WAV, MOD, VOC, IT, XM, S3M, STM, WMA, MOV, ASF, ZIP, RAR, VBS, HTML.
• копирует себя в один из следующих файлов и размещает в сети Gnutella:
  • XXXPasswords.html
  • Pamela — SexVideo.avi.vbs
  • Silva Saint — Blowjob.avi.vbs
  • Britney Spears — Nude.jpg.vbs
  • Dante — Miss California.mp3.vbs
  • Silver — Turn the tide.mp3.vbs
  • Queen — Show must go on.mp3.vbs
  • R Kelly — Fiesta.mp3.vbs
  • Inari Vachs — Gangbang.avi.vbs
• анализирует содержание HTM или HTML файлов в поисках тега «mailto» и сохраняет все найденные email-адреса в ключе реестра: HKCUSoftwareAbi2001Addressbook»[counter]»=»[email address]»

  Затем перезаписывает их содержанием файла AnarchyCookBook.HTML

• сохраняет в массиве пути расположения файлов с расширениями DOC, MDB и XLS, удаляет все .JPG и .MP3 файлы
• файлам .EXE, .COM и .BAT устанавливает атрибут «скрытый» (hidden), затем копирует себя в файлы с теми же именами, но с расширением .VBS.
• добавляет свой код в конец .VBS, .VBE и .WSH файлов

После этого червь открывает Microsoft Outlook и удаляет в папке Inbox сообщения, тема которых одна из следующих:

Fw:Microsoft Security Bulletin
Windows XP Betatest
the requested document
Fw: Corel Joke
Fake Pics of Britney Spears
SARC Virus Warning
Hi 🙂
Some News
no subject

Затем берет email-адреса из адресной книги MS Outlook и добавляет их в свой список, хранящийся в реестре. После чего пытается разослать свои копии во вложенном файле по всем адресам этого списка в сообщении, тема которого одна из вышеуказанных, а текст выглядит следующим образом:

You need ActiveX enabled if you want
to see this e-mail. Please open this message
again and click accept ActiveXMicrosoft

Имя вложенному файлу червь присваивает случайным образом, используя имена файлов .DOC, .MDB, или .XLS на зараженном компьютере.

Затем червь ищет все доступные сетевые диски и копирует себя в стартовый каталог каждого из них. После этого удаляет из реестра ключи автозагрузки любого антивируса.

И, наконец, запускает процедуру анти-стирания с бесконечным циклом сохранения своей копии в инфицированной системе.

HKLMSoftwareMicrosoftWindows
CurrentVersionRun
«[random name].doc.vbs»=»wscript.exe [windows directory][random name].doc.vbs %»