Il Worm BootMerlini modifica il Boot.ini

[dgenerated]

ha scoperto e descritto un nuovo codice malware, chiamato W32/BootMerlin, che, pur non costituendo un pericolo particolare (classificato ad un rischio basso), presenta una particolaritÃ* cioè si occupa di modificare il Boot.ini delle macchine Windows infettate.

BootMerlin è stato programma in Visual Basic probabilmente da un virus-writer di lingua spagnola.

Il worm è un "network walker" che colpisce le workstation modificando il file C:\Boot.ini dei sistemi infetti in modo tale che al riavvio della macchina vengono mostrati alcuni messaggi in spagnolo Anti-Windows o Anti-Microsoft. All'esecuzione il worm può anche mostrare una animazione Wizard modificata sempre in questo senso. BootMerlin crea delle copie di se stesso, camuffandole con l'icona dei documenti Word, sui dischi locali e di rete presenti nel sistema. Il codice nocivo è in grado di infettare altri sistemi usando gli stessi dischi di rete.McAfee riporta i seguenti file e location usati dal worm (X è la lettera del disco usato sulla machina infetta e %Windir% è il riferimento alla cartella di sistema):

%Windir%\System\csrss.exe
%Windir%\System32\dllcache\G-Vulcan-III.exe
X:\Recuerda que te quiero.exe
X:\LINEAS TELEFONICAS SIJIN VIEJA.exe
X:\PODER SALDARRIAGA1.exe
X:\SOLICITUD A MI GENERAL.exe
X:\SEGURO BTA EQUIPOS.exe
X:\CURSO CONSTITUCIONAL.copia.exe

Ricordiamo che esiste un file csrss.exe "legittimo" che si trova nella cartella %Windir%\System32 e che fa parte del sistema operativo Windows.

Il worm crea anche la segeunte chiave di registro per autoeseguirsi al boot del sistema:

Codice:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ "WinSound" = "%Windir%\System\csrss.exe"

[Solo gli utenti registrati possono visualizzare tutti i links]