26 stycznia 2004

UWAGA! I-Worm.Dumaru.j - kolejna epidemia

Jest to kolejny reprezentant rodziny Dumaru, rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail. Szkodnik wyposażony jest w procedurę backdoor oraz w konia trojańskiego kradnącego informacje. Robak ma postać pliku PE EXE o rozmiarze około 17 KB (kompresja FSG, rozmiar bez kompresji - około 43 KB).

Instalacja

Podczas instalacji robak kopiuje się do folderu systemowego Windows z nazwami l32.exe oraz vxd32.exe, a także do folderu startowego z nazwą dllxw.exe.

Następnie robak tworzy w rejestrze systemowym klucz auto-run:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
load32 = %Folder Windows%\%System%\l32x.exe

W systemach Windows 95, 98 oraz ME robak dodatkowo modyfikuje plik system.ini:

[boot]
shell=explorer.exe %System%\vxd32v.exe

Wysyłanie zainfekowanych wiadomości e-mail

Robak pobiera adresy potencjalnych ofiar z plików posiadających następujące rozszerzenia: HTM, WAB, HTML, DBX, TBB oraz ABD. Szkodnik tworzy w folderze tymczasowym Windows archiwum ZIP (zip.tmp) i załącza je do własnej korespondencji.

Dodatkowo robak tworzy w folderze Windows plik winload.log i zapisuje w nim wszystkie adresy e-mail, które udało się zaatakować.

Zainfekowane wiadomości posiadają następujące pola:

  • Adres nadawcy
    Elene  F*****SUICIDE@HOTMAIL.COM
  • Temat:
    Important information for you. Read it immediately !
  • Treść:
    Hi !
    Here is my photo, that you asked for yesterday.
  • Nazwa załącznika: myphoto.zip

W celu wysyłania zainfekowanych wiadomości e-mail robak wykorzystuje własny silnik SMTP.

Informacje dodatkowe

Robak otwiera port 10000 i oczekuje na polecenia zdalnej administracji. Dodatkowo szkodnik wyposażony jest w funkcję przechwytującą znaki wpisywane z klawiatury i zapisującą je do pliku.

Data dodania szkodnika do antywirusowych baz danych: 24 stycznia 2004, godzina 10:12.