ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Dumaru

Fecha de detección 09/25/2003
Clase Email-Worm
Plataforma Win32
Descripción

Esta familia de gusanos de correo electrónico incluye I-Worm.Dumaru.b, I-Worm.Dumaru.c. Se propaga a través de Internet en forma de un archivo adjunto a mensajes infectados. Instala una variedad de componentes de troyanos en la computadora infectada.

El gusano solo se activa si el usuario inicia el archivo infectado haciendo doble clic en el archivo adjunto. Tras el lanzamiento del archivo infectado, el gusano se instala en el sistema y se inicia el procedimiento de replicación.

El gusano es un archivo EXE de Windows PE comprimido con UPX. El tamaño del archivo comprimido es de aproximadamente 9 KB y el tamaño del archivo descomprimido es de aproximadamente 32 KB.

Instalación
El gusano se copia a sí mismo con el nombre load32.exe y vxdmgr32.exe en el directorio del sistema de Windows y registra un archivo en la clave de ejecución automática del registro del sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun



  load32 =% windir %% system% load32.exe 

El gusano crea una copia de sí mismo en el directorio de Windows con el nombre dllreg.exe e instala en esta ubicación el archivo winrdv.exe (aproximadamente 8 KB), una puerta trasera controlada a través de IRC. Kaspersky Anti-Virus detecta este componente como Backdoor.Dumador.c (Backdoor.Small.d). Esto se usará para conectarse al autor del gusano a través de IRC para recibir comandos.

Enviando mensajes
El gusano busca archivos * .TBB, * .ABD, * DBX, * .HTML, * .HTM, * .WAB en todos los directorios de todos los discos locales accesibles. Detecta líneas que son direcciones de correo electrónico en estos archivos y envía mensajes infectados a estas direcciones.
El gusano también crea el archivo winload.log en el directorio de Windows y escribe las direcciones de correo electrónico a las que se envían los mensajes infectados a este archivo.

Los mensajes infectados tienen la dirección de envío como: security@microsoft.com

Asunto del mensaje:

Use este parche inmediatamente!

Cuerpo del mensaje:

Estimado amigo, ¡usa este parche de Internet Explorer ahora! ¡Ahora hay virus peligrosos en Internet! ¡Más de 500,000 ya infectados!

Adjunto archivo:

patch.exe

Para enviar mensajes, el gusano usa una conexión directa al servidor SMTP, dando una dirección de devolución de admin@duma.gov.ru. Esto significa que la notificación del escáner de correo electrónico de que el gusano se ha detectado en los mensajes se enviará a esta dirección.

Infección de archivos
El gusano infecta archivos ejecutables en los directorios raíz de todos los discos locales accesibles desde C: a Z :. Para hacer esto, utiliza flujos de datos alternativos NTFS, un método que fue utilizado por primera vez por el virus Stream en 2000.


Enlace al original