W32/Dumaru.a@MM
Adatlap
- Felfedezés időpontja: 2003.08.19.
- Eredet: Ismeretlen
- Hossz: 9 kB
- Típus: vírus
- Altípus: programféreg
- Adatbázis-verzió: 4287
- Keresőmotor-verzió: 4.2.40
Leírás módosítva: 2003-08-28 18:00
Előfordulás valószínűsége
- Vállalati környezet: Alacsony
- Egyéni felhasználók: Közepes
Tulajdonságok
A program saját SMTP motort használ a továbbterjedéshez, és az alábbi üzenetben érkezik:
Feladó: "Microsoft" security@microsoft.com
Tárgy: Use this patch immediately !
Csatolt állomány: patch.exeÜzenettörzs:
Dear friend, use this Internet Explorer patch now!There are dangerous virus in the Internet now!More than 500.000 already infected!
A leendő címzetteket a programféreg a következő kiterjesztésű fájlokból gyűjti össze: .htm .wab .html .dbx .tbb .abd. Az összegyűjtött email-címeket a winload.log (Windows könyvtár) állományban tárolja.
A megfertőzött rendszeren a PWS-Narod jelszógyűjtő trójai programot telepíti.
Tünetek
Az alábbi registry-kulcsok átirányításával a vírusprogram minden induláskor betöltődik:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run "load32" = C:\%WINDIR%\load32.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = explorer.exe C:\WINNT\System32\vxdmgr32.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows "run" = C:\WINDOWS\dllreg.exeA program az alábbi könyvtárakba másolja egy-egy példányát:
- c:\%WINDIR%\dllreg.exe
- c:\%SYSDIR%\load32.exe
- c:\%SYSDIR%\vxdmgr32.exe
A PWS-Narod trójai program a %WinDir% könyvátrba kerül windrv.exe néven.
A win.ini szintén módosul:
- c:\windows\system.ini, [boot] "shell" = explorer.exe C:\%SYSDIR%\vxdmgr32.exe
- c:\windows\win.ini, [windows] "run"= C:\%WINDIR%\dllreg.exe
A programféreg kézi eltávolítása
- - Win9x/ME - Indítsa újra a gépet csökkentett módban (Safe Mode)
- WinNT/2K/XP - állítsa le az alábbi folyamatokat:
- LOAD32.EXE
- VXDMGR32.EXE
- DLLREG.EXE
- Törölje a következő állományokat:
- %WinDir%\DLLREG.EXE
- %SysDir%\LOAD32.EXE
- %SysDir%\VXDMGR32.EXE
- Módosítsa a registry-t a következők szerint:
Törölje a "Load32" értéket a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run kulcsnál.
Távolítsa el a HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\ kulcs "Run" értékéből a C:\WINDOWS\DLLREG.EXE" bejegyzést.
Változtassa a "Shell" értéket "explorer.exe %sysdir%\vxdmgr32.exé" -ről "explorer.exé"-re a HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon kulcsnál.
Egyéb elnevezések
- W32.Dumaru@mm (Symantec)
- W32/Dumaru@MM
- WORM_DUMARU.A (Trend)