病毒名称:
Worm.Dumaru.bc
类别: 蠕虫
病毒资料:
破坏方法:
通过邮件传播的蠕虫病毒,采用FSG保护
1.本地感染:
一旦运行,病毒将复制自身到本地机器的系统目录下,文件名为:
%SYSDIR%\L32X.EXE
%STARTUP%\DLLXW.EXE
2.自启动:
它将创建下列注册表键值来使自己随Windows系统自启动:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"load32" = %SYSDIR%\L32X.EXE
3.网络传播:
病毒搜索本机下列扩展名的文件来搜索Email地址并向这些地址发送带毒邮件:
.htm
.wab
.Html
.dbx
.tbb
.abd
发送邮件的消息标题为:
Important information for you. Read it immediately
正文:
Here is my photo, that you asked for yesterday.
...
附件是一个带有多个空格的可执行文件,由于文件名很长,且文件的图标为类似JPG图片的图标,
很容易造成用户误以为是一张图片从而点击执行。
4.破坏行为:
病毒运行后会建立三个线程:
第一个用来监视剪贴板并将剪贴板的敏感内容保存在文件:rundllx.sys中以备后用
第二个用来记录键盘操作并保存在文件:vxdload.log中:
它设置钩子来拦截鼠标左键点击和键盘WM_KEYDOWN消息、
记录包含下列信息窗口过程的键盘操作记录:
https://www.e-gold.com/srk.ASP
e-gold Account Access
e-metal
bull
Bull
mull
PayPal
bank
cash
ebay
Fethard
WebMoney
等等
另外一个用网络传播
病毒将向指定的email地址发送上述文件的内容,盗取用户信息
该病毒能更新,此版本将建立一个简单的FTP服务器和一个后门,其中FTP服务器只实现了部分功能:
如:创建目录,删除文件等,而后门是病毒用来传送数据的。
注: %SYSDIR% 是可变的WINDOWS系统文件夹,默认为: C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-2-4