病毒名称:
Worm.Dumaru.bd
类别: 蠕虫
病毒资料:
破坏方法:
这是一个蠕虫病毒。
一、拷贝自身到系统目录、windows目录和自启动目录
vxdmgr32.exe、dllreg.exe、load32.exe
二、修改注册表和win.ini、system.ini以自启动。
1 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"load32" : %SYSTEM%\LOAD32.EXE
2 WIN.INI
WINDOWS "RUN" : %WINDOWS%\DLLREG.EXE
3 SYSTEM.INI
BOOT "SHELL" : EXPLORER.EXE %SYSTEM%\VXDMGR32.EXE
三、释放“guid32.dll”,记录用户所有键盘输入和当前窗口标题。试图取得各种密码。
四、释放另一个病毒文件“windrive.exe”,并立即运行起来。
五、开辟三个线程,监听本地tcp端口,等待远程控制命令。
六、遍历系统中下列类型的文件
.htm、.wab、.Html、.dbx、.tbb、.abd
试图找到邮件地址,发送携带病毒的邮件。
七、邮件内容参考下面:
标题:Use this patch immediately !
正文:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
八、病毒会检测剪贴板的内容变化,保存到文件。
九、取得本地下列信息,发送到指定邮箱
IP address:
WebMoney ID list
Far Manager passWords
KEYLOGGER DATA
CLIPBOARD LOG
Protected Storage Data
十、遍历进程,终止常见的杀毒软件。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-2-11