I-Worm/Dumaru.z

I-Worm/Dumaru.z（杜马）病毒

蠕虫病毒，通过发送邮件传播。病毒感染后会修改注册表启动项，并在系统复制多个病毒文件，病毒还会窃取密码和记录键盘数据。

感染过程：

(1)如果病毒被执行，会生成以下文件，其存路径为：

System Tray = %Windir%system32L32x.exe

System Tray = %Windir%system32Vxd32v.exe

System Tray = %Windir%Tempip.tmp

System Tray = %Startup%dllxw.exe

%windir% 是Windows 系统的安装目录，在不同系统下该目标表现可能不同，可能的有：c:windows；c:winnt 等，%Startup%为windows启动文件夹,win98为C:WindowsStart MenuProgramsStartup。

（2）修改注册表，并在启动项：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下添加：

"load32"="%System%l32x.exe"

并修改

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon为：

"explorer.exe %Windir%system32vxd32v.exe"

(3)创建下列文件：

1.%Windir%Winload.log: 存储病毒发现的邮件地址，病毒会给所有的邮件地址发送病毒邮件。

2.%Windir%Vxdload.log: 存储密码或者用户点击键盘信息。

3.%Windir%Rundllx.sys: 存储剪贴板的数据。

(4)如果是win98/me/95系统，病毒修改System.ini如下：

[boot]

shell=explorer.exe %Windir%\%System%vxd32v.exe

(5）搜索C盘下的所有以为.htm/.html/.wab/.dbx/.tbb/.abd后缀的的文件，将搜索到的所以邮箱地址存到Winload.log中。

(6)向Winload.log文件中的邮件地址发信：

Subject: Important information for you. Read it immediately !

Message:

Hi !

Here is my photo, that you asked for yesterday.

Attachment: myphoto.zip