Merlin.C - robak z wieloma procedurami

Merlin.C jest robakiem internetowym napisanym w języku Visual Basic Script, którego działanie poza rozsyłaniem się pocztą elektroniczną, IRCem i Gnutellą, polega również na nadpisywaniu, usuwaniu i ukrywaniu określonych plików.

Zwykle robak pojawia się w komputerze ofiary w treści listu elektronicznego napisanego w HTMLu, o następujących parametrach:

Temat: <jeden z następujących>

  • Fw: Microsoft Security Bulletin.

  • Windows XP Betatest

  • the requested document

  • Fw:Corel Joke

  • Fake Pics of Britney Spears

  • SARC Virus Warning

  • Hi :-)

    Treść:

    You need ActiveX enabled if you want to see this e-mail.

    Please open this message again and click accept ActiveX.

    Microsoft

    Po uruchomieniu robak tworzy własne kopie w pliku o losowej nazwie oraz w pliku c:\windows\anarchycookbook.html w katalogu systemu Windows, a także w plikach w katalogu z którego został uruchomiony:

    XXXPasswords.html

    Pamela - SexVideo.avi.vbs

    Silva Saint - Blowjob.avi.vbs

    Britney Spears - Nude.jpg.vbs

    Dante - Miss California.mp3.vbs

    Silver - Turn the tide.mp3.vbs

    Queen - Show must go on.mp3.vbs

    R Kelly - Fiesta.mp3.vbs

    Inari Vachs - Gangbang.avi.vbs

    Dodatkowo Merlin.C modyfikuje tak rejestr, by jego kopia była uruchamiana przy każdym uruchomieniu pliku z jednym z następujących rozszerzeń: .js, .doc, .gif, .jpg, .hlp, .bmp, .avi, .mpg, .shs, .mp3. Ponadto w ramach zmian w rejestrach obniża poziom zabezpieczeń przeglądarki Internet Explorer.

    W kolejnym etapie swego działania robak rozpoczyna procedury dystrybucji. Polegają one na tworzeniu kopii w udostępnionych do zapisu zasobach komputerów w sieci lokalnej, rozsyłaniu swoich kopii za pomocą poczty elektronicznej do wszystkich adresatów znajdujących się w książce adresowej systemu Windows, modyfikacji skryptu startowego programu mIRC dla rozsyłania się na kanałach IRCa oraz modyfikacji pliku gnutella.ini dla rozsyłania się w systemie wymiany plików Gnutella.

    Zobacz również:

    • Kompletnie nowy wygląd poczty Gmail! Jakie zmiany wprowadziło Google?
    • SpaceX w obliczu "ryzyka bankructwa"? Wyciekł e-mail Elona Muska

    Dla ukrycia swojego działania robak usuwa wszystkie listy elektroniczne o temacie takim z jakim rozsyłane są jego kopie. Na koniec swego działania robak rozpoczyna działania destrukcyjne. Polegają ona na:

  • nadpisywaniu plików z rozszerzeniami htm, html kopiami robaka, oraz wysyłaniu listów na adresy poczty elektronicznej odnalezione w tych plikach

  • usuwaniu plików z rozszerzeniami jpg, mp3

  • nadpisywaniu kopią robaka, ukrywaniu i dodawaniu rozszerzenia vbs do plików z rozszerzeniami exe, com, bat

  • nadpisywaniu plików z rozszerzeniami vbs, vbe, wsh

    Dodatkowo robak pobiera z Internetu plik, który zapisuje jako c:\windows\system.cih.exe i uruchamia go oraz tworzy 10 000 losowo nazwanych katalogów w katalogu głównym dysku c:, w których umieszcza po jednym pliku tekstowym.

    Ostatecznie po trzech lub więcej dniach od momentu pierwszej infekcji Merlin dodaje wpisy do pliku c:\autoexec.bat mające na celu usunięcie całej zawartości dysku C: oraz stara się usunąć pliki zawierające rejestr - user.dat i system.dat.