Email-Worm.Win32.Dumaru.a
Szkodnik aktywuje si臋 tylko wtedy, gdy u偶ytkownik uruchomi zainfekowany za艂膮cznik.
Robak kopiuje si臋 z nazwami load32.exe oraz vxdmgr32.exe do folderu systemowego Windows i tworzy w rejestrze systemowym klucz auto-run:
load32 = %Folder_Windows%\%system%load32.exe
Dodatkowo robak tworzy w艂asn膮 kopi臋 (dllreg.exe) w folderze Windows oraz instaluje w tej samej lokalizacji plik winrdv.exe o rozmiarze oko艂o 8 KB zawieraj膮cy backdoora kontrolowanego za po艣rednictwem IRC. Szkodnik ten znany jest jako
Robak pobiera adresy e-mail z nast臋puj膮cych plik贸w zapisanych na wszystkich dost臋pnych nap臋dach:
- TBB
- ABD
- DBX
- HTML
- HTM
- WAB
Dodatkowo szkodnik tworzy w folderze Windows plik winload.log i zapisuje do niego adresy e-mail, pod kt贸re uda艂o si臋 wys艂a膰 zainfekowan膮 wiadomo艣膰.
Zainfekowane wiadomo艣ci posiadaj膮 nast臋puj膮ce pola:
- Adres nadawcy:
security@microsoft.com
- Temat:
Use this patch immediately !
- Tre艣膰:
Dear friend, use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!
- Nazwa za艂膮cznika: patch.exe
W celu wysy艂ania zainfekowanych wiadomo艣ci robak wykorzystuje bezpo艣rednie po艂膮czenie z serwerem SMTP.
Robak infekuje pliki wykonywalne zapisane w folderach g艂贸wnych wszystkich nap臋d贸w od C: do Z:. W tym celu szkodnik wykorzystuje alternatywne strumienie danych NTFS (metod臋 t臋 po raz pierwszy wykorzysta艂 wirus