病毒名称:Win32.Dumaru.D
其它名称:I-Worm.Dumaru.e (Kaspersky)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:高
具体介绍:
Win32.Dumaru.D是一种通过E-Mail传播的网络蠕虫。它也会在被感染的系统中放置一个键盘监控的木马程序。
传播方式:
当Dumaru.D被执行的时候,它会创建一个全局元素名叫Program1234578,作为已被感染的标记,如果发现标记存在,它就不会重复感染。然后,它会把自己复制到:
%System%load32.exe
%System%vxdmgr32.exe
%Windows%dllreg.exe
%Windows%Start MenuProgramsStartUp
undllw.exe
注意:'%System%'是一个可变地址。这个蠕虫向系统提出询问申请从而获得当前系统文件夹路径。其在Windows2000和NT中的默认安装路径是C:WinntSystem32;在95,98和ME中是C:WindowsSystem;在XP中是C:WindowsSystem32。
Dumaru.D会设置下面的注册表键值来保证它在每次系统重新启动时被执行:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunload32 = "%System%load32.exe"
WIN.INI中的运行文件被修改为在启动时运行%Windows%dllreg.exe:
[windows]
run=%Windows%dllreg.exe
蠕冲同样会在SYSTEM.INI做类似的修改:
[boot]
shell=explorer.exe %System%vxdmgr32.exe
感染方式:
通过E-Mail
蠕虫搜索被感染电脑的地址,把自己以下面的扩展名传送过去:
.htm
.wab
.html
.dbx
.tbb
.abd
被蠕虫利用的地址存放在:%Windows%winload.log。
携带蠕虫的邮件具有以下特征:
发件地址:
"Microsoft" security@microsoft.com
主题:
内容:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件:
patch.exe
在邮件信息中镶嵌有一个程序,这个程序是用Visual Basic Script脚本语言写的文本,一旦被成功执行,它就会把蠕虫以C:2.EXE的形式下载并运行。
破坏效果:
密码信息盗窃
Dumaru.D尝试从注册表以下键中盗取信息:
HKCUSOFTWAREWebMoneyOptions
HKCUSOFTWAREFarPluginsFTPHosts
这些键中可能含有密码和用户信息。
它还会下载一个键盘监测木马名为%Windows%guid32.dll来监视键盘的动作并以日志的形式放在%Windows%vxdload.log。
被盗取的信息和被感染机器的IP以及登陆用户的详细信息被存放在%Windows%vxdload.log,然后通过邮件发送到。幸运的是,这个邮件发送过程并没有在我们的测试中观测到。
蠕虫搜索所有的含有.KWM扩展名的驱动,并把结果保存在%Windows%
undlln.sys。创建这个键是为了如果这些文件在系统中发现就给出提示。
HKLMSoftwareSARSkwmfound
蠕虫也会尝试通过GetClipboardData Windows应用程序接口捕获数据。
切断进程:
蠕虫会尝试终止被感染电脑上的进程(与反病毒和安全有关的软件的):
"ZAUINST.EXE"
"ZAPRO.EXE"
"ZONEALARM.EXE"
"ZATUTOR.EXE"
"NISUM.EXE"
"NISSERV.EXE"
后门功能:
蠕虫利用两个具有不同功能线程进行监听,一个线程监听10000端口,并且提供以下功能给监听者:
■ 传送用户名
■ 传送密码
■ 下载文件
■ 改变端口号
■ 显示当前目录
■ 列出文件表
■ 改变当前目录
■ 读文件
■ 写文件
■ 删除文件
■ 显示操作系统
■ 停止退出命令
■ 改变根目录
另一个后门线程监听1001端口,并为监听者提供以下功能:
■ 执行一个shell命令
■ 打开光驱
■ 关上光驱
■ 播放一个音频文件
■ 显示一端信息"THIS MACHINE IS CRACKED"
■ 复制当前屏幕画面
■ 改变%Windows%email.dat收件地址
■ 切断"!quit"
蠕虫也监听2283端口和它通过另一个socket连接获取的数据。
另外,病毒一旦入侵成功,就会把当前的系统时间写入一个文件传到ftp.calkopt.narod.ru。
