您现在的位置: 首页 > 病毒库 > 蠕虫病毒
Win32.Dumaru.D
发布时间:2004-12-27 18:42:00
病毒名称:Win32.Dumaru.D
其它名称:I-Worm.Dumaru.e (Kaspersky)
病毒属性:蠕虫病毒 危害性:中等危害 流行程度:
具体介绍:

Win32.Dumaru.D是一种通过E-Mail传播的网络蠕虫。它也会在被感染的系统中放置一个键盘监控的木马程序。

传播方式:
当Dumaru.D被执行的时候,它会创建一个全局元素名叫Program1234578,作为已被感染的标记,如果发现标记存在,它就不会重复感染。然后,它会把自己复制到:
%System%\load32.exe
%System%\vxdmgr32.exe
%Windows%\dllreg.exe
%Windows%\Start Menu\Programs\StartUp\rundllw.exe

注意:'%System%'是一个可变地址。这个蠕虫向系统提出询问申请从而获得当前系统文件夹路径。其在Windows2000和NT中的默认安装路径是C:\Winnt\System32;在95,98和ME中是C:\Windows\System;在XP中是C:\Windows\System32。

Dumaru.D会设置下面的注册表键值来保证它在每次系统重新启动时被执行:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load32 = "%System%\load32.exe"

WIN.INI中的运行文件被修改为在启动时运行%Windows%\dllreg.exe:
[windows]
run=%Windows%\dllreg.exe
蠕冲同样会在SYSTEM.INI做类似的修改:
[boot]
shell=explorer.exe %System%\vxdmgr32.exe
感染方式:
通过E-Mail
蠕虫搜索被感染电脑的地址,把自己以下面的扩展名传送过去:
.htm
.wab
.html
.dbx
.tbb
.abd
被蠕虫利用的地址存放在:%Windows%\winload.log。

携带蠕虫的邮件具有以下特征:

发件地址:
"Microsoft" security@microsoft.com
主题:

内容:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附件:
patch.exe

在邮件信息中镶嵌有一个程序,这个程序是用Visual Basic Script脚本语言写的文本,一旦被成功执行,它就会把蠕虫以C:\2.EXE的形式下载并运行。

破坏效果:
密码\信息盗窃
Dumaru.D尝试从注册表以下键中盗取信息:
HKCU\SOFTWARE\WebMoney\Options
HKCU\SOFTWARE\Far\Plugins\FTP\Hosts
这些键中可能含有密码和用户信息。
它还会下载一个键盘监测木马名为%Windows%\guid32.dll来监视键盘的动作并以日志的形式放在%Windows%\vxdload.log。
被盗取的信息和被感染机器的IP以及登陆用户的详细信息被存放在%Windows%\vxdload.log,然后通过邮件发送到。幸运的是,这个邮件发送过程并没有在我们的测试中观测到。
蠕虫搜索所有的含有.KWM扩展名的驱动,并把结果保存在%Windows%\rundlln.sys。创建这个键是为了如果这些文件在系统中发现就给出提示。
HKLM\Software\SARS\kwmfound
蠕虫也会尝试通过GetClipboardData Windows应用程序接口捕获数据。

切断进程:
蠕虫会尝试终止被感染电脑上的进程(与反病毒和安全有关的软件的):
"ZAUINST.EXE"
"ZAPRO.EXE"
"ZONEALARM.EXE"
"ZATUTOR.EXE"
"NISUM.EXE"
"NISSERV.EXE"

后门功能:
蠕虫利用两个具有不同功能线程进行监听,一个线程监听10000端口,并且提供以下功能给监听者:
■ 传送用户名
■ 传送密码
■ 下载文件
■ 改变端口号
■ 显示当前目录
■ 列出文件表
■ 改变当前目录
■ 读文件
■ 写文件
■ 删除文件
■ 显示操作系统
■ 停止退出命令
■ 改变根目录

另一个后门线程监听1001端口,并为监听者提供以下功能:
■ 执行一个shell命令
■ 打开光驱
■ 关上光驱
■ 播放一个音频文件
■ 显示一端信息"THIS MACHINE IS CRACKED"
■ 复制当前屏幕画面
■ 改变%Windows%\email.dat收件地址
■ 切断"!quit"

蠕虫也监听2283端口和它通过另一个socket连接获取的数据。

另外,病毒一旦入侵成功,就会把当前的系统时间写入一个文件传到ftp.calkopt.narod.ru。

清除:

kill版本: