DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Dumaru

Erkennungsdatum 09/25/2003
Kategorie Email-Worm
Plattform Win32
Beschreibung

Diese Familie von E-Mail-Würmern umfasst I-Worm.Dumaru.b, I-Worm.Dumaru.c. Es verbreitet sich über das Internet in Form einer Datei, die an infizierte Nachrichten angehängt ist. Es installiert eine Vielzahl von Trojaner-Komponenten auf dem infizierten Computer.

Der Wurm wird nur aktiviert, wenn der Benutzer die infizierte Datei durch einen Doppelklick auf den Anhang startet. Nach dem Start der infizierten Datei installiert sich der Wurm selbst im System und startet das Replikationsverfahren.

Der Wurm ist eine Windows PE EXE-Datei, die mit UPX komprimiert wurde. Die Größe der komprimierten Datei beträgt ca. 9 KB und die Größe der dekomprimierten Datei ca. 32 KB.

Installation
Der Wurm kopiert sich unter dem Namen load32.exe und vxdmgr32.exe in das Windows-Systemverzeichnis und registriert eine Datei im Auto-Run-Schlüssel der Systemregistrierung:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun



  load32 =% windir %% System% load32.exe 

Der Wurm erstellt eine Kopie seiner selbst im Windows-Verzeichnis mit dem Namen dllreg.exe und installiert an dieser Stelle die Datei winrdv.exe (ca. 8KB), eine Backdoor, die über IRC gesteuert wird. Kaspersky Anti-Virus erkennt diese Komponente als Backdoor.Dumador.c (Backdoor.Small.d). Dies wird verwendet, um eine Verbindung mit dem Autor des Wurms über IRC herzustellen, um Befehle zu empfangen.

Nachrichten senden
Der Wurm sucht nach * .TBB-, * .ABD-, * DBX-, * .HTML-, * .HTM-, * .WAB-Dateien in allen Verzeichnissen auf allen zugänglichen lokalen Festplatten. Es erkennt Zeilen, die E-Mail-Adressen in diesen Dateien sind, und sendet infizierte Nachrichten an diese Adressen.
Der Wurm erstellt außerdem die Datei winload.log im Windows-Verzeichnis und schreibt die E-Mail-Adressen, an die infizierte Nachrichten gesendet werden, an diese Datei.

Infizierte Nachrichten haben die Adresse senden als: security@microsoft.com

Betreff der Nachricht:

Verwenden Sie diesen Patch sofort!

Nachrichtentext:

Lieber Freund, benutze diesen Internet Explorer-Patch jetzt! Es gibt jetzt gefährliche Viren im Internet! Mehr als 500.000 sind bereits infiziert!

Befestigung:

patch.exe

Um Nachrichten zu versenden, verwendet der Wurm eine direkte Verbindung zum SMTP-Server mit der Absenderadresse admin@duma.gov.ru. Dies bedeutet, dass die Benachrichtigung des Mail-Scanners, dass der Wurm in Nachrichten gefunden wurde, an diese Adresse gesendet wird.

Infektion von Dateien
Der Wurm infiziert ausführbare Dateien in den Stammverzeichnissen aller zugänglichen lokalen Festplatten von C: bis Z :. Dazu verwendet es NTFS alternative Datenströme, eine Methode, die erstmals im Jahr 2000 vom Stream-Virus eingesetzt wurde.


Link zum Original