W32/Merkur.E@mm, W32/Mercury.E@mm

Merkur.E es un gusano reportado el 29 de Junio del 2003 de alta propagación masiva a través de  mensajes de correo, con diversos Asuntos y el archivo anexado AVUpdate.exe, simulando contener un antivirus. Se difunde además vía el IRC (Internet Chat Relay) y las redes de archivos compartidos Kazaa, KaZaA Lite, BearShare y eDonkey2000. 

Ha sido creado por el hacker inglés auto-denominado Industry del grupo NetLux y la muestra fue remitida por un miembro del portal de virus de Indonesia:

http://www.indovirus.net (actualmente clausurado)

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Microsoft Visual Basic con una extensión de 18.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Los mensajes tienen las siguientes características:

Asunto, uno de los siguientes: 

• Free Virus Remover.
• Windows Update (Build: win1.19001281)
• Email Virus Remover.

Contenido:
Install/Update: Please run the attatchment to Install/Update your software, The program will scan for any Infected Files then continue to install/update. Regards, Bill Hanes - Nakitomi Corp.

Anexado: AVUpdate.exe

Al ser ejecutado, el gusano se auto-copia a las siguientes rutas con diferentes nombres de archivos:

• C:\Autoexec.exe
• C:\windows\notepad.exe
• C:\windows\taskman.exe
• C:\windows\screensaver.exe
• C:\Windows\System\AVupdate.exe (con atributo oculto y de solo-lectura)
• C:\Archivos de programa\kazaa\my shared folder\Hotmail Hacker.exe
• C:\Archivos de programa\kazaa\my shared folder\XP Key Patch.exe
• C:\Archivos de programa\kazaa lite\My Shared Folder\Hotmail Hacker.exe
• C:\Archivos de programa\kazaa lite\My Shared Folder\XP Key Patch.exe
• C:\Archivos de programa\bearshare\shared\Hotmail Hacker.exe
• C:\Archivos de programa\bearshare\shared\XP Key Patch.exe
• C:\Archivos de programa\eDonkey2000\incoming\Hotmail Hacker.exe
• C:\Archivos de programa\eDonkey2000\incoming\XP Key Patch.exe
• C:\My Shared Folder\Hotmail Hacker.exe
• C:\My Shared Folder\XP Key Patch.exe

También crea en el directorio raíz el archivo C:\Mercury.scr, el mismo que no es ejecutable ni está infectado.

Para activarse la próxima vez que se inicie el sistema, el gusano agrega el siguiente valor a la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Swf32" = "%Windir%\AVupdate.exe"

La siguiente vez que se re-inicie el equipo, el gusano ejecuta su rutina de envío masivo de correo y para difundirse por el IRC (Internet Chat Relay) busca en los servidores, estaciones de trabajo o PC individuales si el software mIRC se encuentra instalado y si lo encuentra, sobre-escribe el SCRIPT.INI con su código viral en las carpetas:

• C:\Archivos de programa\mIRC32
• C:\Archivos de programa\mIRC
• C:\mIRC32
• C:\mIRC

El gusano usa el SCRIPT.INI infectado, que es una copia de sí mismo, para auto-enviarse con el nombre de archivo screensaver.exe a todos los usuarios que se conecten a una misma sesión de Chat.

Dentro de código viral se puede leer:

Los payloads de este gusano son:

• Se propaga a través de mensajes de correo con diversos Asuntos, simulando contener un antivirus.
• De igual modo lo hace vía las redes Peer to Peer Kazaa, KaZaA Lite, BearShare y eDonkey.
• Sobre-escribe el SCRIPT.INI del software mIRC y se auto-envía con el nombre de screensaver.exe para infectar a todos los usuarios conectados a una misma sesión de Chat, con un efecto multiplicador. 

PER ANTIVIRUS® versión 8.1 con registro de virus al 29 de Junio del 2003 detecta y elimina eficientemente este gusano.

Nota: existe una diferencia de 12 horas entre Perú (-5 GMT) e Indonesia (+7 GMT)