Troj/Meheerwr

MEHEERWAR troyano propagado por diversos servicios desconfigura Internet Explorer controla CD-ROM y mouse.

Troj/Meheerwar

Meheerwar es un troyano residente en memoria reportado el 22 de Febrero del 2006, que ingresa furtivamente a los sistemas a través de diversos servicios de Internet, con un archivo de nombre csrss.exe.

Modifica la página de Inicio, la barra de Título y el Historial del Internet Explorer. Crea carpetas vacías en el Escritorio de MS Windows y en la carpetas \Mis documentos.

Muestra un fondo de pantalla con mensajes en idioma alemán. Finalmente abre y cierra la bandeja del CD-ROM o intercambia las acciones de los botones derecho e izquierdo del mouse, en intervalos aleatorios.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/Me/2000/XP y Server 2003, está desarrollado en Assembler, con una extensión de 14.8 KB y comprimido con el utilitario FSG:

http://www.exetools.com

Al ingresar a un sistema se copia a la carpeta %System%\winupdate como csrss.exe y libera los siguientes archivos

%System%\winupdate\csrss.exe
%SystemDrive%\Open me.exe
%SystemDrive%\Del.exe
%SystemDrive%\Winfile.exe
%SystemDrive%\Msn.exe
%SystemDrive%\msnpaint.exe
%SystemDrive%\Notedpad.exe
%SystemDrive%\Dont Delete me.exe

para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Update" = "%System%\winupdate\csrss.exe"%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. Crea el archivo %SystemDrive%\d.bmp el mismo que muestra el siguiente texto en alemán y que es aplicado como fondo de la pantalla del escritorio de Windows cuando se ejecuta el troyano. Warrior By Mr.X volgens mij heb jij een foutje gemaakt of niet: P? we maken allemaal wel eens fouten maar niet zo een: P lol Dom van je GloBal Pc Terror para cambiar la página de Inicio del Internet Explorer modifica la llave: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page" = "www.mrx-server.com" para cambiar el título de la barra del Internet Explorer cada vez que se acceda a Internet agrega el valor: "Window Title" = "Warrior !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! By Mr.X" en la sub-llave de registro: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] para cambiar el Historial de direcciones web del menu desplegable de la barra de direcciones del Internet Explorer modifica los valores: "url1" = "www.sex.nl" "url2" = "www.sex.nl" "url3" = "www.sex.nl" "url4" = "www.sex.nl" "url5" = "www.sex.nl" "url6" = "www.sex.nl" "url7" = "www.sex.nl" "url8" = "www.sex.nl" "url9" = "www.sex.nl" "url10" = "www.sex.nl" "url11" = "www.sex.nl" "url12" = "www.sex.nl" "url13" = "www.sex.nl" de la sub-llave: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs] Al siguiente inicio del equipo crea las siguientes carpetas vacías, con nombres en inglés o alemán en el Escritorio de Windows: Afghanistan ASHB ben jij gay Call of Duty(R) 2 Singleplayer DAMN Darn zeg Delete LOL DELETE ME Please DONT DELETE ME DRIVERS GAY Global Pc Terror GPT GTA San Andreas Hersens Holland I OWN ik weet niks anders IMC IMF Ja jij stink JIj Stinkt LESBIE LOL LOLz LOLZA LOLZAAAAAAA Lozer Made in Holland Master MASTER WARRIOR Mister X MOHAHAHAHAHAHA Mr.X Mrx.Afghanistan Msn Messenger noem eens wat op NOOB OMG OMG jij bent dom OMG OMG omg vet saai OMLA Porno MAP POWER Program files STINKERD System32 Terror VIRUS waarom ben je homo Waarom open je virus WARRIOR Windows YOU homo bestanden You sucks luego crea las siguientes carpetas vacías, con nombres en inglés o alemán en la carpeta Mis documentos: 2005 DARN Desktop Deze Computer Emoticosn Font Hardeschijf HDD HELP ME Ik weet niks Leeg LOL LoLza Made By mrx Mijn fotos mijn vriendin Mr.X Mrx 2005 Msn My files Omg omG 2005 Open me Rotzooi Save game Shit Warrior Weet ff niks wie ben jij Your files Zwak

Finalmente abre y cierra la bandeja del CD-ROM o intercambia las acciones de los botones del mouse en intervalos aleatorios.

PER ANTIVIRUS® versión 9.6 con registro de virus al 22 de Febrero del 2006 detecta y elimina este troyano.