病毒名称:
Worm.Dumaru.e
类别: 蠕虫病毒
病毒资料:
破坏方法:
病毒采用VC++编写,UPX压缩。
病毒伪装为微软补丁,通过邮件传播病毒用来发送Email地址是从指定的扩展名的文件中获得。病毒发送的Email有下列特征:
From:"Microsoft"
标题:
Use this patch immediately !
消息:
Dear friend , use this Internet EXPlorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件: patch.exe
病毒一旦执行,将复制文件到如下目录:
%Windir%\dllreg.exe
%System%\load32.exe
%System%\vxdmgr32.exe
该病毒带有后门,监听3个TCP端口,能够记录键盘操作;运行后,创建6个线程,分别用来接受远程命令,处理命令,获取email地址,监视剪贴板,盗取WebMoney信息等病毒生成的文件:%Windir%\winload.log --这是病毒用来保存Email地址的记录文件.
病毒将从下列扩展名的文件中搜索Email地址:
.htm
.wab
.Html
.dbx
.tbb
.abd
病毒生成的文件:rundll?.sys --保存剪贴板监视的结果,其中?可能为:x、n、z等
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-9-12