病毒名称:
Worm.Dumaru.a
类别: 蠕虫病毒
病毒资料:
病毒伪装为微软补丁,通过邮件传播一个IRC 木马到中毒机器,病毒用来发送Email地址是从指定的扩展名的文件中获得。
病毒发送的Email有下列特征:
From:"Microsoft"
标题:Use this patch immediately !
消息:Dear friend , use this Internet EXPlorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件: patch.exe
病毒一旦执行,将复制文件到如下目录:
%Windir%\dllreg.exe
%System%\load32.exe
%System%\vxdmgr32.exe
在下列目录生成一个文件:
%Windir%\windrv.exe,这是一个IRC木马文件,执行后将连接到指定的IRC服务器,加入一个指定的channel,等待其host的指令。
病毒也生成一个文件:
%Windir%\winload.log,这是病毒用来保存Email地址的记录文件.
病毒将从下列扩展名的文件中搜索Email地址:
.htm
.wab
.Html
.dbx
.tbb
.abd
破坏方法:
1.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\Load32
"%Windir%\load32.exe"
2.win.ini
[windows]
run=%Windir%\dllreg.exe
system.ini
[boot]
shell=explorer.exe %System%\vxdmgr32.exe
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-8-15
