病毒名称:
Worm.Dumaru.bb
类别: 蠕虫
病毒资料:
破坏方法:
1. 删除文件 C:\2.exe 这是病毒从指定网站下载的病毒体
2. 复制自身为下列文件:
%SYSTEM%\L32x.exe
%SYSTEM%\Vxd32v.exe
%Startup%\Dllxw.exe
3. 创建一个使用ZIP压缩的文件: %WINDIR%\Temp\Zip.tmp,包中即病毒。
4. 创建下列文件:
%WINDIR%\Winload.log: 这个文件用来保存病毒搜索到的Email地址,病毒将向这些地址发送带毒邮件。
%WINDIR%\Vxdload.log: 这个文件用来保存密码和别的敏感信息,这些信息是病毒对用户键盘记录的结果。
%WINDIR%\Rundllx.sys: 这个文件保存传递到剪贴板的数据。
5. 添加如下值:
"load32"="%SYSTEM%\l32x.exe"
到注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
这是病毒用来自启动的伎俩。
6. 修改系统文件:system.ini:
[boot]
shell=eXPlorer.exe %SYSTEM%\vxd32v.exe
7.修改注册表键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
的下列值:
Shell="explorer.exe" 为:
Shell="explorer.exe %WINDIR%\system32\vxd32v.exe"
这也是病毒在WIN2K\NT\XP下自启动的伎俩。
8. 监视剪贴板并将结果保存在文件:%WINDIR%\Rundllx.sys.
9. 捕获带有如下字眼的窗口过程的用户的击键记录并保存到文件:%WINDIR%\Vxdload.log.
"https:/ /www.e-gold.com/srk.ASP - Microsoft Internet Explorer,"
gold
Storm
e-metal
WebMoney
WM Keeper
Keepe
Fethard
fethard
bull
Bull
mull
PayPal
Bank
bank
cash
ebay
10. 定期发送文件: Winload.log, Vxdload.log, 和 Rundllx.sys 的内容到指定邮箱。
11. 搜索c:盘的带有下列扩展名的文件中的Email地址,并保存在文件Winload.log中:
.htm
.wab
.Html
.dbx
.tbb
.abd
12. 发送带毒邮件到文件Winload.log中的地址,附件是病毒本身。
邮件带有如下特征:
From: "Elene" (censored)
Subject: Important information for you. Read it immediately !
附件: myphoto.zip
消息正文:
Hi !
Here is my photo, that you asked for yesterday.
这个邮件消息包含有 IFRAME 漏洞,将在未及时打微软补丁的系统上自动下载病毒并执行。
13. 病毒将在端口 10000建立一个简单FTP服务器.这使得攻击者可以对中毒的系统进行攻击。
*******************************************************
注:
-- %SYSDIR% 是可变的WINDOWS系统文件夹,默认为: C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).
-- %WINDIR% 是可变的,是WINDOWS的安装目录(默认为: C:\Windows or C:\Winnt).
-- %Startup%是用户的启动目录,系统启动后将执行此文件夹下的文件。
*******************************************************
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-2-4