McAfee ha scoperto e descritto un nuovo codice malware, chiamato W32/BootMerlin, che, pur non costituendo un pericolo particolare (classificato ad un rischio basso), presenta una particolarità cioè si occupa di modificare il Boot.ini delle macchine Windows infettate.
BootMerlin è stato programma in Visual Basic probabilmente da un virus-writer di lingua spagnola.
Il worm è un "network walker" che colpisce le workstation modificando il file C:\Boot.ini dei sistemi infetti in modo tale che al riavvio della macchina vengono mostrati alcuni messaggi in spagnolo Anti-Windows o Anti-Microsoft. All'esecuzione il worm può anche mostrare una animazione Wizard modificata sempre in questo senso. BootMerlin crea delle copie di se stesso, camuffandole con l'icona dei documenti Word, sui dischi locali e di rete presenti nel sistema. Il codice nocivo è in grado di infettare altri sistemi usando gli stessi dischi di rete.
McAfee riporta i seguenti file e location usati dal worm (X è la lettera del disco usato sulla machina infetta e %Windir% è il riferimento alla cartella di sistema):
%Windir%\System\csrss.exe %Windir%\System32\dllcache\G-Vulcan-III.exe X:\Recuerda que te quiero.exe X:\LINEAS TELEFONICAS SIJIN VIEJA.exe X:\PODER SALDARRIAGA1.exe X:\SOLICITUD A MI GENERAL.exe X:\SEGURO BTA EQUIPOS.exe X:\CURSO CONSTITUCIONAL.copia.exe
Ricordiamo che esiste un file csrss.exe "legittimo" che si trova nella cartella %Windir%\System32 e che fa parte del sistema operativo Windows.
Il worm crea anche la segeunte chiave di registro per autoeseguirsi al boot del sistema:
Ricapitolando, i sintomi di infezione da BootMerlin sono: 1. animazione Wizard con messaggi in spagnolo anti-Microsoft; 2. modifica del file C:\Boot.ini; 3. messaggi Anti-Windows o Anti-Microsoft mostrati dal Windows Boot Manager durante il boot; 4. presenza dei file menzionati precedentemente; 5. presenza della chiave di registro e della entry di boot WinSound.
I messaggi che appaiono al boot possono essere eliminati ripristinando il contenuto del file Boot.ini precedente all'infezione. Per farlo si può usare un editori di testo. Per esempio:
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="AUN Usas Windows..?"/fastdetect