Email-Worm.Win32.Dumaru.a

Jest to reprezentant rodziny Dumaru, w sk艂ad kt贸rej wchodz膮 robaki pocztowe rozprzestrzeniaj膮ce si臋 za po艣rednictwem zainfekowanych wiadomo艣ci e-mail. Szkodnik ma posta膰 pliku PE EXE o rozmiarze oko艂o 9 KB (kompresja UPX, rozmiar po rozpakowaniu - oko艂o 32 KB) i instaluje w zainfekowanym systemie zestaw koni troja艅skich.

Szkodnik aktywuje si臋 tylko wtedy, gdy u偶ytkownik uruchomi zainfekowany za艂膮cznik.

Instalacja

Robak kopiuje si臋 z nazwami load32.exe oraz vxdmgr32.exe do folderu systemowego Windows i tworzy w rejestrze systemowym klucz auto-run:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun
load32 = %Folder_Windows%\%system%load32.exe

Dodatkowo robak tworzy w艂asn膮 kopi臋 (dllreg.exe) w folderze Windows oraz instaluje w tej samej lokalizacji plik winrdv.exe o rozmiarze oko艂o 8 KB zawieraj膮cy backdoora kontrolowanego za po艣rednictwem IRC. Szkodnik ten znany jest jako Backdoor.Dumador.c (Backdoor.Small.d).

Wysy艂anie zainfekowanych wiadomo艣ci e-mail

Robak pobiera adresy e-mail z nast臋puj膮cych plik贸w zapisanych na wszystkich dost臋pnych nap臋dach:

  • TBB
  • ABD
  • DBX
  • HTML
  • HTM
  • WAB

Dodatkowo szkodnik tworzy w folderze Windows plik winload.log i zapisuje do niego adresy e-mail, pod kt贸re uda艂o si臋 wys艂a膰 zainfekowan膮 wiadomo艣膰.

Zainfekowane wiadomo艣ci posiadaj膮 nast臋puj膮ce pola:

  • Adres nadawcy:
    security@microsoft.com
  • Temat:
    Use this patch immediately !
  • Tre艣膰:
    Dear friend,
    use this Internet Explorer patch now! 
    There are dangerous virus in the Internet now! 
    More than 500.000 already infected!
  • Nazwa za艂膮cznika: patch.exe

W celu wysy艂ania zainfekowanych wiadomo艣ci robak wykorzystuje bezpo艣rednie po艂膮czenie z serwerem SMTP.

Infekowanie plik贸w

Robak infekuje pliki wykonywalne zapisane w folderach g艂贸wnych wszystkich nap臋d贸w od C: do Z:. W tym celu szkodnik wykorzystuje alternatywne strumienie danych NTFS (metod臋 t臋 po raz pierwszy wykorzysta艂 wirus Stream wykryty w roku 2000).