病毒名称:
Worm.Dumaru.d.enc
类别: 蠕虫病毒
病毒资料:
破坏方法:
该病毒是一个集后门worm功能于一身的病毒。
病毒运行后将自己分别复制到开始菜单的启动项及windows目录下文件名
分别为:
rundllw.exe,dllreg.exe,vxdmgr32.exe,
eXPlorer.exe,windrive.exe load32.exe
病毒还将释放一个名为guid32.dll的文件该模块用来截取用户的键盘消息。
在注册表run项中加入自己的键值load32
该病毒运行后建立5个线程以实现:
后门:
该病毒有两个后门,并能接受控制台程序发送的一些如!exec ,!email把本地密码
文件发送出去等命令。
杀反毒软件进程:
该病毒通过遍历进程列表。杀死以下一些反毒软件的进程。
TAUMON.EXE
TDS-3.EXE
NDD32.EXE
ICLOAD95.EXE
WEBSCANX.EXE
APLICA32.EXE
...
向作者的信箱发送ip通知:
该病毒将向指定的邮箱发送一个本地ip地址,以便作者通过客户端联进后门。
邮件传播:
该病毒从.htm,.Html,.wab,.dbx,.tbb,.abd中搜出地址并向这些地址发送带病毒的
邮件
标题: Use this patch immediately !
内容:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件名:
Patch.exe
窃密:
该病毒能监听键盘及剪贴板的操作数据并能把这些数据及webmoney,windows的密码文件通过
后门传给控制者。
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-11-5