W32/Dumaru.y@MM
Adatlap
- Felfedezés időpontja: 2004. 01. 24.
- Eredet: Ismeretlen
- Hossz:kb. 17 kbájt
- Típus: Vírus
- Altípus: e-mail programféreg
- Szükséges adatbázis: 4318
- Szükséges keresőmotor: 4.2.40
Előfordulás valószínűsége
- Vállalati környezet: Közepes
- Otthoni felhasználók: Közepes
Leírás módosítva: 2004.01.27. 17:42
-- 2004. január 26. --
A vírus előfordulási valószínűségét alacsonyról közepesre minősítették.
-- 2004. január 25. --
A vírus új, kissé módosított változatának kódját beépítették az új EXTRA.DAT-ba, amely így helyesen azonosítja a W32/Dumaru.y@MM és W32/Dumaru.z@MM vírust.
A W32/Dumaru.z@MM nagyon hasonlít az "y" változatra. A fontosabb különbségek:
Fájlméret kb. 14,550 bájt
A vírus megpróbál egy fájlt letölteni egy rögzített címről. A letöltött program változhat, de a vírusleírás készítésekor ez a W32/Spybot.worm egyik variánsa volt. A lemezre már NVIDIA32.EXE néven kerül a rendszerkönyvtárba. Ezt az állományt a 4288-as és újabb adatbázisok W32/Spybot.worm.gen néven azonosítják. A vírust hordozó elektronikus levél felépítése megegyezik az "y" változatéval.
Tulajdonságok:
- saját SMTP rutint használ az üzenetek összeállításához
- a cél-címeket a helyi számítógépről gyűjti
- adatokat gyűjt a számítógépről (bizonyos jelszavakat, billentyű-leütéseket). Ezt a funkciót távolról indíthatja el pl. a vírus készítője
Tejedés levelezéssel
A vírus a kódot hordozó elektronikus levelet saját SMTP rutinja segítségével állítja össze. A cél-címeket a következő fájl-típusokban keresi: .HTM, .WAB, .HTML, .DBX, .TBB, .ABD.
A víruskódot a levélhez csatolt ZIP állomány hordozza. Tartalma:
MYPHOTO.JPG. (sok szóköz) .EXE
Az üzenet felépítése:
- From: "Elene" (F (törölt szöveg) ENSUICIDE@HOTMAIL.COM)
- Subject: Important information for you. Read it immediately !
- Attachment: MYPHOTO.ZIP
- Üzenettörzs:
Hi!
Here is my photo, that you asked for yesterday.Például:
Adatgyűjtés
A programféreg adatgyűjtésre is fel van készítve. A billentyűzet-leütéseket rögzítő modul bizonyos kapcsolatok esetében - online banki szolgáltatások - működik. A féreg elsősorban az e-gold.com felhasználókat veszi célba. Az összegyűjtött adatok a VXDLOAD.LOG-ba kerülnek, a vágólap tartalmát a vírus a RUNDLLX.SYS fájlba menti. A naplókat a vírus készítője e-mailben kapja meg.
Távoli hozzáférés
A program a 2283-as és 10000-es TCP portot figyeli, ezeken várja az utasításokat.
Tünetek
Az alábbi registry-kulcs jelenléte:
HKEY_LOCAL_MACHINE\Software\SARS
(További állományok és regisztrációs bejegyzések felsorolása a "Fertőzés menete" szakaszban).
A fertőzés menete
Végrehajtásakor a vírus több példányban is a megtámadott gépre kerül:
%WinDir%\RUNDLLX.SYS
%SysDir%\L32X.EXE
%SysDir%\VXD32V.EXE%WinDir% : Windows könyvtár. (pl. C:\WINNT)
%SysDir% : Windows rendszer könyvtár (pl. C:\WINNT\SYSTEM32).Egy másolat a Windows startup mappájába kerül DLLXW.EXE néven, pl.:
c:\Documents and Settings\user2\Start Menu\Programs\Startup\dllxw.exe
A vírus létrehoz egy fertőzött ZIP fájlt ZIP.TMP néven a %WinDir%\TEMP könyvtárban. A rendszerindításokat az alábbi registry-kulcsokon keresztül ellenőrzi:
Windows 9x és NT:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "load32" = %SysDir%\L32X.EXE
Windows 2000
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"
Eredeti: Explorer.exe
Módosított: explorer.exe %SysDir%\VXD32V.EXE
A WIN.INI és SYSTEM.INI szintén módosul
WIN.INI:
[windows]
"run" = %WinDir%\RUNDLLX.SYSSYSTEM.INI:
[boot]
"shell" = Explorer.exemódosítva:
"shell" = explorer.exe %SysDir%\VXD32V.EXEEltávolítási utasítások
Minden felhasználónak
Használják a kiadott, legalább 4319-es adatbázisokat. A megfelelő verzióval végrehajtott tisztítás a registry-ben és INI fájlokban történt változtatásokat is helyreállítja.
A Stinger legújabb verziója az 1.97-es.
Kiegészítő eltávolítási utasítások Windows XP/ME rendszerekhez
Változatok
- W32/Dumaru.z@MM
- Egyéb elnevezések
- CapeGold
- W32.Dumaru.Y@mm (NAV)
- W32/Dumaru.z@MM
- Win32/ZHymn (CAI)
- WORM_DUMARU.Y (Trend)
