ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Dumaru

Data de detecção 09/25/2003
Classe Email-Worm
Plataforma Win32
Descrição

Esta família de worms de email inclui o I-Worm.Dumaru.b, o I-Worm.Dumaru.c. Ele se espalha pela Internet na forma de um arquivo anexado a mensagens infectadas. Ele instala uma variedade de componentes do Trojan no computador infectado.

O worm só é ativado se o usuário iniciar o arquivo infectado clicando duas vezes no anexo. Após o lançamento do arquivo infectado, o worm se instala no sistema e inicia o procedimento de replicação.

O worm é um arquivo EXE do Windows PE compactado usando o UPX. O tamanho do arquivo compactado é de aproximadamente 9 KB e o tamanho do arquivo descompactado é de aproximadamente 32 KB.

Instalação
O worm se copia sob o nome load32.exe e vxdmgr32.exe para o diretório de sistema do Windows e registra um arquivo na chave Auto-run do registro do sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun



  load32 =% windir %% system% load32.exe 

O worm cria uma cópia de si mesmo no diretório do Windows com o nome dllreg.exe e instala neste local o arquivo winrdv.exe (aproximadamente 8KB), um backdoor controlado via IRC. O Kaspersky Anti-Virus detecta esse componente como Backdoor.Dumador.c (Backdoor.Small.d). Isso será usado para se conectar ao autor do worm via IRC para receber comandos.

Enviando mensagens
O worm procura arquivos * .TBB, * .ABD, * DBX, * .HTML, * .HTM, * .WAB em todos os diretórios em todos os discos locais acessíveis. Ele detecta linhas que são endereços de e-mail nesses arquivos e envia mensagens infectadas para esses endereços.
O worm também cria o arquivo winload.log no diretório do Windows e grava os endereços de e-mail para os quais as mensagens infectadas estão sendo enviadas para esse arquivo.

Mensagens infectadas têm o endereço Enviar como: security@microsoft.com

Assunto da mensagem:

Use este patch imediatamente!

Corpo da mensagem:

Caro amigo, use este patch do Internet Explorer agora! Há vírus perigosos na Internet agora! Mais de 500.000 já infectados!

Anexo:

patch.exe

Para enviar mensagens, o worm usa uma conexão direta com o servidor SMTP, dando um endereço de retorno de admin@duma.gov.ru. Isso significa que a notificação do verificador de correio que o worm foi detectado nas mensagens será enviada para esse endereço.

Infecção de arquivos
O worm infecta arquivos executáveis ​​nos diretórios raiz de todos os discos locais acessíveis de C: para Z :. Para isso, usa fluxos de dados alternativos NTFS, um método que foi empregado pela primeira vez pelo vírus Stream em 2000.


Link para o original