Win32.Dumaru.D

病毒名称：Win32.Dumaru.D

其它名称：I-Worm.Dumaru.e (Kaspersky)

病毒属性：蠕虫病毒 危害性：中等危害 流行程度：高

具体介绍：

Win32.Dumaru.D是一种通过E-Mail传播的网络蠕虫。它也会在被感染的系统中放置一个键盘监控的木马程序。

传播方式：

当Dumaru.D被执行的时候，它会创建一个全局元素名叫Program1234578，作为已被感染的标记，如果发现标记存在，它就不会重复感染。然后，它会把自己复制到：

%System%load32.exe

%System%vxdmgr32.exe

%Windows%dllreg.exe

%Windows%Start MenuProgramsStartUp

undllw.exe

注意：'%System%'是一个可变地址。这个蠕虫向系统提出询问申请从而获得当前系统文件夹路径。其在Windows2000和NT中的默认安装路径是C:WinntSystem32；在95，98和ME中是C:WindowsSystem；在XP中是C:WindowsSystem32。

Dumaru.D会设置下面的注册表键值来保证它在每次系统重新启动时被执行：

HKLMSoftwareMicrosoftWindowsCurrentVersionRunload32 = "%System%load32.exe"

WIN.INI中的运行文件被修改为在启动时运行%Windows%dllreg.exe：

[windows]

run=%Windows%dllreg.exe

蠕冲同样会在SYSTEM.INI做类似的修改：

[boot]

shell=explorer.exe %System%vxdmgr32.exe

感染方式：

通过E-Mail

蠕虫搜索被感染电脑的地址，把自己以下面的扩展名传送过去：

.htm

.wab

.html

.dbx

.tbb

.abd

被蠕虫利用的地址存放在：%Windows%winload.log。

携带蠕虫的邮件具有以下特征：

发件地址：

"Microsoft" security@microsoft.com

主题：

内容：

Dear friend , use this Internet Explorer patch now!

There are dangerous virus in the Internet now!

More than 500.000 already infected!

附件：

patch.exe

在邮件信息中镶嵌有一个程序，这个程序是用Visual Basic Script脚本语言写的文本，一旦被成功执行，它就会把蠕虫以C:2.EXE的形式下载并运行。

破坏效果：

密码信息盗窃

Dumaru.D尝试从注册表以下键中盗取信息：

HKCUSOFTWAREWebMoneyOptions

HKCUSOFTWAREFarPluginsFTPHosts

这些键中可能含有密码和用户信息。

它还会下载一个键盘监测木马名为%Windows%guid32.dll来监视键盘的动作并以日志的形式放在%Windows%vxdload.log。

被盗取的信息和被感染机器的IP以及登陆用户的详细信息被存放在%Windows%vxdload.log，然后通过邮件发送到。幸运的是，这个邮件发送过程并没有在我们的测试中观测到。

蠕虫搜索所有的含有.KWM扩展名的驱动，并把结果保存在%Windows%

undlln.sys。创建这个键是为了如果这些文件在系统中发现就给出提示。

HKLMSoftwareSARSkwmfound

蠕虫也会尝试通过GetClipboardData Windows应用程序接口捕获数据。

切断进程：

蠕虫会尝试终止被感染电脑上的进程（与反病毒和安全有关的软件的）：

"ZAUINST.EXE"

"ZAPRO.EXE"

"ZONEALARM.EXE"

"ZATUTOR.EXE"

"NISUM.EXE"

"NISSERV.EXE"

后门功能：

蠕虫利用两个具有不同功能线程进行监听，一个线程监听10000端口，并且提供以下功能给监听者：

■ 传送用户名

■ 传送密码

■ 下载文件

■ 改变端口号

■ 显示当前目录

■ 列出文件表

■ 改变当前目录

■ 读文件

■ 写文件

■ 删除文件

■ 显示操作系统

■ 停止退出命令

■ 改变根目录

另一个后门线程监听1001端口，并为监听者提供以下功能：

■ 执行一个shell命令

■ 打开光驱

■ 关上光驱

■ 播放一个音频文件

■ 显示一端信息"THIS MACHINE IS CRACKED"

■ 复制当前屏幕画面

■ 改变%Windows%email.dat收件地址

■ 切断"!quit"

蠕虫也监听2283端口和它通过另一个socket连接获取的数据。

另外，病毒一旦入侵成功，就会把当前的系统时间写入一个文件传到ftp.calkopt.narod.ru。

• ·许敏岐
• ·许福芦
• ·许谋清
• ·苹果iPod原装耳机
• ·理陶
• ·Win32.Funlove.4099
• ·新贵ME-816DJ迪街
• ·WYX.B
• ·Win32/SQLSlammer.Worm
• ·新贵迪街ME-622