Worm.Merkur.d

病毒名称:

Worm.Merkur.d

类别： 蠕虫病毒

病毒资料：

破坏方法：

这是一个利用Microsoft Outlook发送给所有Outlook地址薄中联系人病毒的蠕虫，它还能通过KaZaA, KaZaA Lite, Bearshare and eDonkey文件共享和mIRC传播，它发送的email

消息包含如下特征：

标题为如下内容:

Free Virus Remover.

Windows Update (Build: win1.19001281)

Email Virus Remover.

正文为:

Install/Update: Please run the attatchment to Install/Update your software, The program will scan for any Infected Files then continue to install/update.

Regards, Bill Hanes - Nakitomi Corp.

附件为: AVUpdate.exe

病毒由VB编写，采用UPX压缩，它运行后会复制到如下目录：

C:\AutoExec.exe

C:\windows\notepad.exe

C:\windows\taskman.exe

C:\windows\screensaver.exe

C:\Windows\System\AVupdate.exe, whose

attribute is set to read_only and hidden

C:\program files\kazaa\my shared folder\Hotmail Hacker.exe

C:\program files\kazaa\my shared folder\XP Key Patch.exe

C:\program files\kazaa lite\My Shared Folder\Hotmail Hacker.exe

C:\program files\kazaa lite\My Shared Folder

\XP Key Patch.exe

c:\program files\bearshare\shared\Hotmail

Hacker.exe

C:\program files\bearshare\shared\XP Key Patch.exe

C:\program files\eDonkey2000\incoming\Hotmail Hacker.exe

C:\program files\eDonkey2000\incoming

\XP Key Patch.exe

C:\My Shared Folder\Hotmail Hacker.exe

C:\My Shared Folder\XP Key Patch.exe

并在注册表中添加如下键值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\Run

"Swf32"="C:\Windows\AVupdate.exe"

如果存在IRC软件，则在下列可能的目录下建立一个Script.ini文件

C:\Program Files\mIRC32

C:\Program Files\mIRC

C:\mIRC32

C:\mIRC

病毒使用这个脚本文件向IRC用户发送病毒本身，文件名一般为：

screensaver.exe

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2003-7-2