“Win32.Dumaru.D”的意思、由来-中文百科全书

概述

病毒名称：Win32.Dumaru.D

其它名称：I-Worm.Dumaru.e (Kaspersky)

病毒属性：蠕虫病毒危害性：中等危害流行程度：高

具体介绍：

Win32.Dumaru.D是一种通过E-Mail传播的网络蠕虫。它也会在被感染的系统中放置一个键盘监控的木马程序。

传播方式

当Dumaru.D被执行的时候，它会创建一个全局元素名叫Program1234578，作为已被感染的标记，如果发现标记存在，它就不会重复感染。然后，它会把自己复制到：

%System%\\load32.exe

%System%\\vxdmgr32.exe

%Windows%\\dllreg.exe

%Windows%\\Start Menu\\Programs\\StartUp\\rundllw.exe

注意：'%System%'是一个可变地址。这个蠕虫向系统提出询问申请从而获得当前系统文件夹路径。其在Windows2000和NT中的默认安装路径是C:\\Winnt\\System32；在95，98和ME中是C:\\Windows\\System；在XP中是C:\\Windows\\System32。

Dumaru.D会设置下面的注册表键值来保证它在每次系统重新启动时被执行：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\load32 = "%System%\\load32.exe"

WIN.INI中的运行文件被修改为在启动时运行%Windows%\\dllreg.exe：

[windows]

run=%Windows%\\dllreg.exe

蠕冲同样会在SYSTEM.INI做类似的修改：

[boot]

shell=explorer.exe %System%\\vxdmgr32.exe

感染方式：

通过E-Mail

蠕虫搜索被感染电脑的地址，把自己以下面的扩展名传送过去：

.htm

.wab

.html

.dbx

.tbb

.abd

被蠕虫利用的地址存放在：%Windows%\\winload.log。

携带蠕虫的邮件具有以下特征：

发件地址：

"Microsoft 主题：

内容：

Dear friend , use this Internet Explorer patch now!

There are dangerous virus in the Internet now!

More than 500.000 already infected!

附件：

patch.exe

在邮件信息中镶嵌有一个程序，这个程序是用Visual Basic Script脚本语言写的文本，一旦被成功执行，它就会把蠕虫以C:\\2.EXE的形式下载并运行。

破坏效果：

密码\\信息盗窃

Dumaru.D尝试从注册表以下键中盗取信息：

HKCU\\SOFTWARE\\WebMoney\\Options

HKCU\\SOFTWARE\\Far\\Plugins\\FTP\\Hosts

这些键中可能含有密码和用户信息。

它还会下载一个键盘监测木马名为%Windows%\\guid32.dll来监视键盘的动作并以日志的形式放在%Windows%\\vxdload.log。

被盗取的信息和被感染机器的IP以及登陆用户的详细信息被存放在%Windows%\\vxdload.log，然后通过邮件发送到。幸运的是，这个邮件发送过程并没有在我们的测试中观测到。

蠕虫搜索所有的含有.KWM扩展名的驱动，并把结果保存在%Windows%\\rundlln.sys。创建这个键是为了如果这些文件在系统中发现就给出提示。

HKLM\\Software\\SARS\\kwmfound

蠕虫也会尝试通过GetClipboardData Windows应用程序接口捕获数据。

切断进程：

蠕虫会尝试终止被感染电脑上的进程（与反病毒和安全有关的软件的）：

"ZAUINST.EXE"

"ZAPRO.EXE"

"ZONEALARM.EXE"

"ZATUTOR.EXE"

"NISUM.EXE"

"NISSERV.EXE"

后门功能：

蠕虫利用两个具有不同功能线程进行监听，一个线程监听10000端口，并且提供以下功能给监听者：

传送用户名

传送密码

下载文件

改变端口号

显示当前目录

列出文件表

改变当前目录

读文件

写文件

删除文件

显示操作系统

停止退出命令

改变根目录

另一个后门线程监听1001端口，并为监听者提供以下功能：

执行一个shell命令

打开光驱

关上光驱

播放一个音频文件

显示一端信息"THIS MACHINE IS CRACKED"

复制当前屏幕画面

改变%Windows%\\email.dat收件地址

切断"!quit"

蠕虫也监听2283端口和它通过另一个socket连接获取的数据。

另外，病毒一旦入侵成功，就会把当前的系统时间写入一个文件传到

词条	Win32.Dumaru.D
释义	病毒名称：Win32.Dumaru.D 其它名称：I-Worm.Dumaru.e (Kaspersky) 病毒属性：蠕虫病毒危害性：中等危害流行程度：高概述传播方式概述病毒名称：Win32.Dumaru.D 其它名称：I-Worm.Dumaru.e (Kaspersky) 病毒属性：蠕虫病毒危害性：中等危害流行程度：高具体介绍： Win32.Dumaru.D是一种通过E-Mail传播的网络蠕虫。它也会在被感染的系统中放置一个键盘监控的木马程序。传播方式当Dumaru.D被执行的时候，它会创建一个全局元素名叫Program1234578，作为已被感染的标记，如果发现标记存在，它就不会重复感染。然后，它会把自己复制到： %System%\\load32.exe %System%\\vxdmgr32.exe %Windows%\\dllreg.exe %Windows%\\Start Menu\\Programs\\StartUp\\rundllw.exe 注意：'%System%'是一个可变地址。这个蠕虫向系统提出询问申请从而获得当前系统文件夹路径。其在Windows2000和NT中的默认安装路径是C:\\Winnt\\System32；在95，98和ME中是C:\\Windows\\System；在XP中是C:\\Windows\\System32。 Dumaru.D会设置下面的注册表键值来保证它在每次系统重新启动时被执行： HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\load32 = "%System%\\load32.exe" WIN.INI中的运行文件被修改为在启动时运行%Windows%\\dllreg.exe： [windows] run=%Windows%\\dllreg.exe 蠕冲同样会在SYSTEM.INI做类似的修改： [boot] shell=explorer.exe %System%\\vxdmgr32.exe 感染方式：通过E-Mail 蠕虫搜索被感染电脑的地址，把自己以下面的扩展名传送过去： .htm .wab .html .dbx .tbb .abd 被蠕虫利用的地址存放在：%Windows%\\winload.log。携带蠕虫的邮件具有以下特征：发件地址： "Microsoft 主题：内容： Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected! 附件： patch.exe 在邮件信息中镶嵌有一个程序，这个程序是用Visual Basic Script脚本语言写的文本，一旦被成功执行，它就会把蠕虫以C:\\2.EXE的形式下载并运行。破坏效果：密码\\信息盗窃 Dumaru.D尝试从注册表以下键中盗取信息： HKCU\\SOFTWARE\\WebMoney\\Options HKCU\\SOFTWARE\\Far\\Plugins\\FTP\\Hosts 这些键中可能含有密码和用户信息。它还会下载一个键盘监测木马名为%Windows%\\guid32.dll来监视键盘的动作并以日志的形式放在%Windows%\\vxdload.log。被盗取的信息和被感染机器的IP以及登陆用户的详细信息被存放在%Windows%\\vxdload.log，然后通过邮件发送到。幸运的是，这个邮件发送过程并没有在我们的测试中观测到。蠕虫搜索所有的含有.KWM扩展名的驱动，并把结果保存在%Windows%\\rundlln.sys。创建这个键是为了如果这些文件在系统中发现就给出提示。 HKLM\\Software\\SARS\\kwmfound 蠕虫也会尝试通过GetClipboardData Windows应用程序接口捕获数据。切断进程：蠕虫会尝试终止被感染电脑上的进程（与反病毒和安全有关的软件的）： "ZAUINST.EXE" "ZAPRO.EXE" "ZONEALARM.EXE" "ZATUTOR.EXE" "NISUM.EXE" "NISSERV.EXE" 后门功能：蠕虫利用两个具有不同功能线程进行监听，一个线程监听10000端口，并且提供以下功能给监听者：传送用户名传送密码下载文件改变端口号显示当前目录列出文件表改变当前目录读文件写文件删除文件显示操作系统停止退出命令改变根目录另一个后门线程监听1001端口，并为监听者提供以下功能：执行一个shell命令打开光驱关上光驱播放一个音频文件显示一端信息"THIS MACHINE IS CRACKED" 复制当前屏幕画面改变%Windows%\\email.dat收件地址切断"!quit" 蠕虫也监听2283端口和它通过另一个socket连接获取的数据。另外，病毒一旦入侵成功，就会把当前的系统时间写入一个文件传到
随便看	钢檩条钢筘钢筘抛光机缸豆炒腐竹缸豆炒肉末缸豆烧五花肉缸盖材料缸径缸面缸片缸坪缸山村缸体修复剂缸瓦缸瓦船打老虎缸瓦市缸瓦窑白釉剔花填黑彩梅瓶缸瓦窑遗址缸外喷射缸砚缸窑沟街道办事处缸窑沟站缸窑区缸鱼缸岙村