名稱
I-Worm/Dumaru.g病毒長度:約33 KB
簡介
病毒類型:網路蠕蟲影響平台:Win9X/2000/XP/NT/Me
I-Worm/Dumaru.g用自帶的SMTP引擎群發郵件,此病毒感染系統後還會置入一個IRC木馬程式。從有如下擴展名的檔案中搜尋郵件地址:.htm;.wab;.html;.dbx;.tbb;.abd,並傳送帶病毒的郵件。郵件有以下特徵:
發件人: "Microsoft" <[email protected]>
主題: Use this patch immediately !
內容:Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
附屬檔案:patch.exe
該病毒也可以感染NTFS格式下的.exe執行檔。它會監聽
TCP 10000
TCP 1001
TCP 2283
連線埠,並記錄鍵盤操作傳送到指定的Mail地址。
傳播過程及特徵:
1.生成下列檔案:
%Windir%\Dllreg.exe
%System%\load32.exe
%System%\Vxdmgr32.exe
%Startup%\Rundllw.exe%Windir%\Wndrive.exe
%Windir%\Winload.log
%Windir%\Guid32.dll
2.修改註冊表:
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加"load32"="%Windir%\load32.exe" 鍵值;
生成HKEY_LOCAL_MACHINE\SOFTWARE\SARS並在其下加入一個鍵"kwmfound"
3.如果病毒感染的是Windows 9X系統,病毒會對系統的初始化檔案作如下修改:
在win.ini檔案的【windows】中加入run=%Windir%\dllreg.exe
在system.ini檔案的【boot】中加入shell=explorer.exe %System%\vxdmgr32.exe
4.試圖感染所有驅動器中的所有的.EXE檔案,但只能感染每個驅動器中根目錄下的執行檔案。
5.監聽TCP10000連線埠(用以接收遠程指令如:創建或移動一個目錄、改變連線埠等操作)TCP1001連線埠(用以接收遠程指令如:執行程式,打開光碟機、播放聲音檔案等)TCP2283連線埠(用以監聽指令,可以迅速地將別一個伺服器作為代理伺服器).
6.此蠕蟲程式會結束系統的中如下進程:
Agentsvr.exe
Ants.exe
Aplica32.exe
Apvxdwin.exe
Atcon.exe
Atupdater.exe
Atwatch.exe
Avsynmgr.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Defwatch.exe
Drwatson.exe
Fast.exe
Frw.exe
Guard.exe
Iamapp.exe
Iamserv.exe
Icload95.exeIcloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Lockdown.exe
Lockdown2000.exe
Luall.exe
Lucomserver.exe
Mcagent.exe
Mcupdate.exe
Mgui.exe
Minilog.exe
Moolive.exe
Msconfig.exe
Mssmmc32.exe
Ndd32.exe
Netstat.exe
Nisserv.exe
Nisum.exe
Nmain.exeNprotect.exe
Nsched32.exe
Nvarch16.exe
Pavproxy.exe
Pcciomon.exe
Pcfwallicon.exe
Persfw.exe
Poproxy.exe
Pview95.exe
Regedit.exe
Rtvscn95.exe
Safeweb.exe
Sphinx.exe
Spyxx.exe
Ss3edit.exe
Sysedit.exe
Taumon.exe
Tc.exe
Tca.exe
Tcm.exe
Tds2-98.exe
Tds2-nt.exe
Tds-3.exe
Update.exe
Vpc42.exe
Vptray.exe
Vsecomr.exe
Vshwin32.exe
Vsmain.exe
Vsmon.exe
Vsstat.exe
Watchdog.exe
Webscanx.exe
Wgfe95.exe
Wradmin.exe
Wrctrl.exe
Wrctrl.exe
Zapro.exe
Zatutor.exe
Zauinst.exe
Zonealarm.exe
提示
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt。%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)。
