I-Worm/Dumaru.z

tVersion\\ tVersion\\ dir%\\

簡介

I-Worm/Dumaru.z(杜馬)病毒
蠕蟲病毒,通過傳送郵件傳播。病毒感染後會修改註冊表啟動項,並在系統複製多個病毒檔案,病毒還會竊取密碼和記錄鍵盤數據。
感染過程:
(1)如果病毒被執行,會生成以下檔案,其存路徑為:
System Tray = %Windir%\system32\L32x.exe
System Tray = %Windir%\system32\Vxd32v.exe
System Tray = %Windir%\Temp\Zip.tmp
System Tray = %Startup%\dllxw.exe
%windir% 是Windows 系統的安裝目錄,在不同系統下該目標表現可能不同,可能的有:c:\windows;c:\winnt 等,%Startup%為windows啟動資料夾,win98為C:\Windows\Start Menu\Programs\Startup。
(2)修改註冊表,並在啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加:
"load32"="%System%\l32x.exe"
並修改
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon為:
"explorer.exe %Windir%\system32\vxd32v.exe"
(3)創建下列檔案:
1.%Windir%\Winload.log: 存儲病毒發現的郵件地址,病毒會給所有的郵件地址傳送病毒郵件。
2.%Windir%\Vxdload.log: 存儲密碼或者用戶點擊鍵盤信息。
3.%Windir%\Rundllx.sys: 存儲剪貼簿的數據。
(4)如果是win98/me/95系統,病毒修改System.ini如下:
【boot】
shell=explorer.exe %Windir%\%System%\vxd32v.exe
(5)搜尋C糟下的所有以為.htm/.html/.wab/.dbx/.tbb/.abd後綴的的檔案,將搜尋到的所以信箱地址存到Winload.log中。
(6)向Winload.log檔案中的郵件地址發信:
Subject: Important information for you. Read it immediately !
Message:
Hi !
Here is my photo, that you asked for yesterday.
Attachment: myphoto.zip

相關詞條

Trojan/Killav.u

I-Worm/Dumaru.z

Worm/P2P.Darby.b

Trojan/TalkStocks

Backdoor/Cult.b

IRC-Worm/Fagot

相關詞條

相關搜尋

熱門詞條

聯絡我們