I-Worm/Dumaru.z（杜马）病毒

蠕虫病毒，通过发送邮件传播。病毒感染后会修改注册表启动项，并在系统复制多个病毒文件，病毒还会窃取密码和记录键盘数据。

感染过程：

(1)如果病毒被执行，会生成以下文件，其存路径为：

System Tray = %Windir%\\system32\\L32x.exe

System Tray = %Windir%\\system32\\Vxd32v.exe

System Tray = %Windir%\\Temp\\Zip.tmp

System Tray = %Startup%\\dllxw.exe

%windir% 是Windows 系统的安装目录，在不同系统下该目标表现可能不同，可能的有：c:\\windows；c:\\winnt 等，%Startup%为windows启动文件夹,win98为C:\\Windows\\Start Menu\\Programs\\Startup。

（2）修改注册表，并在启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下添加：

"load32"="%System%\\l32x.exe"

并修改

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon为：

"explorer.exe %Windir%\\system32\\vxd32v.exe"

(3)创建下列文件：

1.%Windir%\\Winload.log: 存储病毒发现的邮件地址，病毒会给所有的邮件地址发送病毒邮件。

2.%Windir%\\Vxdload.log: 存储密码或者用户点击键盘信息。

3.%Windir%\\Rundllx.sys: 存储剪贴板的数据。

(4)如果是win98/me/95系统，病毒修改System.ini如下：

[boot]

shell=explorer.exe %Windir%\\%System%\\vxd32v.exe

(5）搜索C盘下的所有以为.htm/.html/.wab/.dbx/.tbb/.abd后缀的的文件，将搜索到的所以邮箱地址存到Winload.log中。

(6)向Winload.log文件中的邮件地址发信：

Subject: Important information for you. Read it immediately !

Message:

Hi !

Here is my photo, that you asked for yesterday.

Attachment: myphoto.zip