I-Worm/Dumaru.g,是一種計算機網路蠕蟲病毒,I-Worm/Dumaru.g是用自帶的SMTP引擎群發郵件,此病毒感染系統後還會置入一個IRC木馬程式。從有如下擴展名的檔案中搜尋郵件地址:.htm;.wab;.html;.dbx;.tbb;.abd,並傳送帶病毒的郵件。
基本介紹
- 中文名:I-Worm/Dumaru.g
- 病毒長度:約33 KB
- 病毒類型:網路蠕蟲
- 影響平台:Win9X/2000/XP/NT/Me
傳送方式及要求,傳播過程及特徵:,生成下列檔案:,修改註冊表:,初始化檔案修改:,檔案感染,連線埠,結束系統,
I-Worm/Dumaru.g
傳送方式及要求
I-Worm/Dumaru.g用自帶的SMTP引擎群發郵件,此病毒感染系統後還會置入一個IRC木馬程式。從有如下擴展名的檔案中搜尋郵件地址:.htm;.wab;.html;.dbx;.tbb;.abd,並傳送帶病毒的郵件。郵件有以下特徵:
發件人: "Microsoft"
主題: Use this patch immediately !
內容:Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附屬檔案:Patch.exe
該病毒也可以感染NTFS格式下的.exe執行檔。它會監聽
TCP 10000
TCP 1001
TCP 2283
連線埠,並記錄鍵盤操作傳送到指定的Mail地址。
傳播過程及特徵:
生成下列檔案:
%Windir%\Dllreg.exe
%System%\Load32.exe
%System%\Vxdmgr32.exe
%Startup%\Rundllw.exe
%Windir%\Wndrive.exe
%Windir%\Winload.log
%Windir%\Guid32.dll
修改註冊表:
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加"load32"="%Windir%\load32.exe" 鍵值;
生成HKEY_LOCAL_MACHINE\SOFTWARE\SARS並在其下加入一個鍵"kwmfound"
3.如果病毒感染的是Windows 9X系統,病毒會對系統的
初始化檔案修改:
.如果病毒感染的是Windows 9X系統病毒會對系統初始化檔案修改,
在win.ini檔案的[windows]中加入run=%Windir%\dllreg.exe
在system.ini檔案的[boot]中加入shell=explorer.exe %System%\vxdmgr32.exe
4.試圖
檔案感染
感染所有驅動器中的所有的.EXE檔案,但只能感染每個驅動器中根目錄下的執行檔案。
連線埠
.監聽TCP10000連線埠(用以接收遠程指令如:創建或移動一個目錄、改變連線埠等操作)TCP1001連線埠(用以接收遠程指令如:執行程式,打開光碟機、播放聲音檔案等)TCP2283連線埠(用以監聽指令,可以迅速地將別一個伺服器作為代理伺服器).
結束系統
此蠕蟲程式會結束系統的中如下進程:
Agentsvr.exe
Ants.exe
Aplica32.exe
Apvxdwin.exe
Atcon.exe
Atupdater.exe
Atwatch.exe
Avsynmgr.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Defwatch.exe
Fast.exe
Frw.exe
Guard.exe
Iamapp.exe
Iamserv.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Lockdown.exe
Lockdown2000.exe
Luall.exe
Lucomserver.exe
Mcagent.exe
Mcupdate.exe
Mgui.exe
Minilog.exe
Moolive.exe
Msconfig.exe
Mssmmc32.exe
Netstat.exe
Nisserv.exe
Nisum.exe
Nmain.exe
Nprotect.exe
Nsched32.exe
Nvarch16.exe
Pavproxy.exe
Pcciomon.exe
Pcfwallicon.exe
Persfw.exe
Poproxy.exe
Pview95.exe
Regedit.exe
Rtvscn95.exe
Safeweb.exe
Sphinx.exe
Spyxx.exe
Ss3edit.exe
Sysedit.exe
Taumon.exe
Tc.exe
Tca.exe
Tcm.exe
Tds2-98.exe
Tds2-nt.exe
Tds-3.exe
Update.exe
Vpc42.exe
Vptray.exe
Vsecomr.exe
Vshwin32.exe
Vsmain.exe
Vsmon.exe
Vsstat.exe
Watchdog.exe
Webscanx.exe
Wgfe95.exe
Wradmin.exe
Wrctrl.exe
Wrctrl.exe
Zapro.exe
Zatutor.exe
Zauinst.exe
Zonealarm.exe
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt。
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)。
