病毒名稱:Win32.Dumaru.D 其它名稱:I-Worm.Dumaru.e (Kaspersky) 病毒屬性:蠕蟲病毒 危害性:中等危害 流行程度:高
基本介紹
- 中文名:Win32.Dumaru.D
- 病毒屬性::蠕蟲病毒
- 危害性::中等危害
- 流行程度::高
概述,傳播方式,
概述
病毒名稱:Win32.Dumaru.D
其它名稱:I-Worm.Dumaru.e (Kaspersky)
具體介紹:
傳播方式
當Dumaru.D被執行的時候,它會創建一個全局元素名叫Program1234578,作為已被感染的標記,如果發現標記存在,它就不會重複感染。然後,它會把自己複製到:
%System%\load32.exe
%System%\vxdmgr32.exe
%Windows%\dllreg.exe
%Windows%\Start Menu\Programs\StartUp\rundllw.exe
注意:'%System%'是一個可變地址。這個蠕蟲向系統提出詢問申請從而獲得當前系統資料夾路徑。其在Windows2000和NT中的默認安裝路徑是C:\Winnt\System32;在95,98和ME中是C:\Windows\System;在XP中是C:\Windows\System32。
Dumaru.D會設定下面的註冊表鍵值來保證它在每次系統重新啟動時被執行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load32 = "%System%\load32.exe"
WIN.INI中的運行檔案被修改為在啟動時運行%Windows%\dllreg.exe:
[windows]
run=%Windows%\dllreg.exe
蠕沖同樣會在SYSTEM.INI做類似的修改:
[boot]
shell=explorer.exe %System%\vxdmgr32.exe
感染方式:
通過E-Mail
蠕蟲搜尋被感染電腦的地址,把自己以下面的擴展名傳送過去:
.htm
.wab
.html
.dbx
.tbb
.abd
被蠕蟲利用的地址存放在:%Windows%\winload.log。
攜帶蠕蟲的郵件具有以下特徵:
發件地址:
"Microsoft 主題:
內容:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附屬檔案:
patch.exe
破壞效果:
密碼\信息盜竊
Dumaru.D嘗試從註冊表以下鍵中盜取信息:
HKCU\SOFTWARE\WebMoney\Options
HKCU\SOFTWARE\Far\Plugins\FTP\Hosts
這些鍵中可能含有密碼和用戶信息。
它還會下載一個鍵盤監測木馬名為%Windows%\guid32.dll來監視鍵盤的動作並以日誌的形式放在%Windows%\vxdload.log。
被盜取的信息和被感染機器的IP以及登入用戶的詳細信息被存放在%Windows%\vxdload.log,然後通過郵件傳送到。幸運的是,這個郵件傳送過程並沒有在我們的測試中觀測到。
蠕蟲搜尋所有的含有.KWM擴展名的驅動,並把結果保存在%Windows%\rundlln.sys。創建這個鍵是為了如果這些檔案在系統中發現就給出提示。
HKLM\Software\SARS\kwmfound
蠕蟲也會嘗試通過GetClipboardData Windows應用程式接口捕獲數據。
切斷進程:
蠕蟲會嘗試終止被感染電腦上的進程(與反病毒和安全有關的軟體的):
"ZAUINST.EXE"
"ZAPRO.EXE"
"ZONEALARM.EXE"
"ZATUTOR.EXE"
"NISUM.EXE"
"NISSERV.EXE"
後門功能:
蠕蟲利用兩個具有不同功能執行緒進行監聽,一個執行緒監聽10000連線埠,並且提供以下功能給監聽者:
■ 傳送用戶名
■ 傳送密碼
■ 下載檔案
■ 改變連線埠號
■ 顯示當前目錄
■ 列出檔案表
■ 改變當前目錄
■ 讀檔案
■ 寫檔案
■ 刪除檔案
■ 顯示作業系統
■ 停止退出命令
■ 改變根目錄
另一個後門執行緒監聽1001連線埠,並為監聽者提供以下功能:
■ 執行一個shell命令
■ 打開光碟機
■ 關上光碟機
■ 播放一個音頻檔案
■ 顯示一端信息"THIS MACHINE IS CRACKED"
