12 stycznia 2004

I-Worm.Dumaru.a - instaluje backdoora

Jest to reprezentant rodziny Dumaru, w skład której wchodzą robaki pocztowe rozprzestrzeniające się za pośrednictwem zainfekowanych wiadomości e-mail. Szkodnik ma postać pliku PE EXE o rozmiarze około 9 KB (kompresja UPX, rozmiar po rozpakowaniu - około 32 KB) i instaluje w zainfekowanym systemie backdoora.

Szkodnik aktywuje się tylko wtedy, gdy użytkownik uruchomi zainfekowany załącznik.

Instalacja

Robak kopiuje się z nazwami load32.exe oraz vxdmgr32.exe do folderu systemowego Windows i tworzy w rejestrze systemowym klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
load32 = %Folder_Windows%\%system%\load32.exe

Dodatkowo robak tworzy własną kopię (dllreg.exe) w folderze Windows oraz instaluje w tej samej lokalizacji plik winrdv.exe o rozmiarze około 8 KB zawierający backdoora kontrolowanego za pośrednictwem IRC. Program Kaspersky Anti-Virus wykrywa tego szkodnika jako Backdoor.Dumador.c (Backdoor.Small.d).

Wysyłanie zainfekowanych wiadomości e-mail

Robak pobiera adresy e-mail z następujących plików zapisanych na wszystkich dostępnych napędach:

  • *.TBB
  • *.ABD
  • *DBX
  • *.HTML
  • *.HTM
  • *.WAB

Dodatkowo szkodnik tworzy w folderze Windows plik winload.log i zapisuje do niego adresy e-mail, pod które udało się wysłać zainfekowaną wiadomość.

Zainfekowane wiadomości posiadają następujące pola:

  • Adres nadawcy:
    security@microsoft.com
  • Temat:
    Use this patch immediately !
  • Treść:
    Dear friend,
    use this Internet Explorer patch now! 
    There are dangerous virus in the Internet now! 
    More than 500.000 already infected!
  • Nazwa załącznika: patch.exe

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje bezpośrednie połączenie z serwerem SMTP.

Infekowanie plików

Robak infekuje pliki wykonywalne zapisane w folderach głównych wszystkich napędów od C: do Z:. W tym celu szkodnik wykorzystuje alternatywne strumienie danych NTFS (metodę tę po raz pierwszy wykorzystał wirus Stream wykryty w roku 2000).