W32.HLLW.Merkur@mm, si diffonde attraverso i messaggi di posta elettronica, sfruttando alcuni problemi di Outlook, e attraverso network quali Kazaa, Bearshare e eDonkey. I messaggi infetti presenta le seguenti
caratteristiche:
Oggetto: Update your Anti-virus Software
Allegato: Taskman.exe
In caso di infezione ecco cosa combina W32.HLLW.Merkur@mm al vostro PC:
- si autoinvia a tutti i contatti della rubrica di OE;
- inserisce nella chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run del registro di sistema il valore AVupdate C:\Windows\System\AVupdate.exe;
- nel caso utilizziate uno dei network citati sopra, crea un eseguibile C:\Pr0n.bat che se avviato cancella tutti i file multimediali (immagini, video, etc) dalle cartelle di condivisione standard dei network;
- sovrascrive i file C:\Windows\Taskman.exe e C:\Windows\Notepad.exe con una propria copia;
- infine, fa una copia di se stesso in questi path:
a) C:\Autoexec.exe
b) C:\Windows\Screensaver.exe
c) C:\Windows\System\Avupdate.exe
d) C:\Program Files\Uninstall.exe
e) C:\Program Files\Kazaa\My Shared Folder\Ipspoofer.exe
f) C:\Program Files\Kazaa\My Shared Folder\Virtual Sex Simulator.exe
g) C:\Program Files\Bearshare\Shared\Ipspoofer.exe
h) C:\Program Files\Bearshare\Shared\Virtual Sex Simulator.exe
i) C:\Program Files\Edonkey2000\Incoming\Ipspoofer.exe
j) C:\Program Files\Edonkey2000\Incoming\Virtual Sex Simulator.exe
Per risolvere il problema W32.HLLW.Merkur@mm basta aggiornare il proprio antivirus e cancellare la chiave dal registro di sistema.
Registrazione
