Win32.Dumaru.D

王朝百科·作者佚名  2010-01-29  
宽屏版  字体: |||超大  

病毒名称:Win32.Dumaru.D

其它名称:I-Worm.Dumaru.e (Kaspersky)

病毒属性:蠕虫病毒 危害性:中等危害 流行程度:高

具体介绍:

Win32.Dumaru.D是一种通过E-Mail传播的网络蠕虫。它也会在被感染的系统中放置一个键盘监控的木马程序。

传播方式:

当Dumaru.D被执行的时候,它会创建一个全局元素名叫Program1234578,作为已被感染的标记,如果发现标记存在,它就不会重复感染。然后,它会把自己复制到:

%System%load32.exe

%System%vxdmgr32.exe

%Windows%dllreg.exe

%Windows%Start MenuProgramsStartUp

undllw.exe

注意:'%System%'是一个可变地址。这个蠕虫向系统提出询问申请从而获得当前系统文件夹路径。其在Windows2000和NT中的默认安装路径是C:WinntSystem32;在95,98和ME中是C:WindowsSystem;在XP中是C:WindowsSystem32。

Dumaru.D会设置下面的注册表键值来保证它在每次系统重新启动时被执行:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunload32 = "%System%load32.exe"

WIN.INI中的运行文件被修改为在启动时运行%Windows%dllreg.exe:

[windows]

run=%Windows%dllreg.exe

蠕冲同样会在SYSTEM.INI做类似的修改:

[boot]

shell=explorer.exe %System%vxdmgr32.exe

感染方式:

通过E-Mail

蠕虫搜索被感染电脑的地址,把自己以下面的扩展名传送过去:

.htm

.wab

.html

.dbx

.tbb

.abd

被蠕虫利用的地址存放在:%Windows%winload.log。

携带蠕虫的邮件具有以下特征:

发件地址:

"Microsoft" security@microsoft.com

主题:

内容:

Dear friend , use this Internet Explorer patch now!

There are dangerous virus in the Internet now!

More than 500.000 already infected!

附件:

patch.exe

在邮件信息中镶嵌有一个程序,这个程序是用Visual Basic Script脚本语言写的文本,一旦被成功执行,它就会把蠕虫以C:2.EXE的形式下载并运行。

破坏效果:

密码信息盗窃

Dumaru.D尝试从注册表以下键中盗取信息:

HKCUSOFTWAREWebMoneyOptions

HKCUSOFTWAREFarPluginsFTPHosts

这些键中可能含有密码和用户信息。

它还会下载一个键盘监测木马名为%Windows%guid32.dll来监视键盘的动作并以日志的形式放在%Windows%vxdload.log。

被盗取的信息和被感染机器的IP以及登陆用户的详细信息被存放在%Windows%vxdload.log,然后通过邮件发送到。幸运的是,这个邮件发送过程并没有在我们的测试中观测到。

蠕虫搜索所有的含有.KWM扩展名的驱动,并把结果保存在%Windows%

undlln.sys。创建这个键是为了如果这些文件在系统中发现就给出提示。

HKLMSoftwareSARSkwmfound

蠕虫也会尝试通过GetClipboardData Windows应用程序接口捕获数据。

切断进程:

蠕虫会尝试终止被感染电脑上的进程(与反病毒和安全有关的软件的):

"ZAUINST.EXE"

"ZAPRO.EXE"

"ZONEALARM.EXE"

"ZATUTOR.EXE"

"NISUM.EXE"

"NISSERV.EXE"

后门功能:

蠕虫利用两个具有不同功能线程进行监听,一个线程监听10000端口,并且提供以下功能给监听者:

■ 传送用户名

■ 传送密码

■ 下载文件

■ 改变端口号

■ 显示当前目录

■ 列出文件表

■ 改变当前目录

■ 读文件

■ 写文件

■ 删除文件

■ 显示操作系统

■ 停止退出命令

■ 改变根目录

另一个后门线程监听1001端口,并为监听者提供以下功能:

■ 执行一个shell命令

■ 打开光驱

■ 关上光驱

■ 播放一个音频文件

■ 显示一端信息"THIS MACHINE IS CRACKED"

■ 复制当前屏幕画面

■ 改变%Windows%email.dat收件地址

■ 切断"!quit"

蠕虫也监听2283端口和它通过另一个socket连接获取的数据。

另外,病毒一旦入侵成功,就会把当前的系统时间写入一个文件传到ftp.calkopt.narod.ru。

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝百科 版权所有