W32/Dumaru.y@MM: már közepesen veszélyes

forrás Prim Online, 2004. január 27. 08:55
Az AVERT, a Network Associates vírusszakértői csoportja közleménye szerint a W32/Dumaru.y@MM email-féreg veszélyességi besorolását "alacsonyról" "közepesre" növelte.

A saját SMTP motort is tartalmazó W32/Dumaru.y@MM e-mail leveleken keresztül terjed. A megfertőzött rendszereken a .HTM, . HTML, .WAB, .DBX, .TBB és .ABD kiterjesztésű fájlokból gyűjti össze az email címeket, de emellett speciális böngésző funkciók (online banking!) közben a billentyűleütéseket is naplózza. Az így rögzített adatokat egy VXDLOAD.LOG nevű fájlba vezeti be. A fentieken túl a vágólapról is képes adatokat lopni, ezeket pedig egy RUNDLLX.SYS nevű fájlba vezeti be. Naplófájljait a féreg megpróbálja email levélben elküldeni alkotójának, a féregbe "bedrótozott" email címekre.

Amennyiben a megfertőzött gép nem rendelkezik megbízható tűzfalas védelemmel, a féreg a 2283-as és 10000-es portokon várja, hogy készítője vagy egy másik hacker utasításokat adjon számára, például FTP parancsokkal.

A Dumaru.y egy csatolt ZIP fájlban érkezik, melynek tartalma egy olyan állomány, amelyben egy "MYPHOTO.JPG .EXE" fájlt található. A .EXE előtti sok szóköz miatt a tényleges kiterjesztés többnyire észrevétlen marad.

Feladó: (általában hamis cím)

Tárgy: Important information for you. Read it immediately !

Szöveg: Hi!

Here is my photo, that you asked for yesterday.

...

Csatolt állomány: MYPHOTO.ZIP, mérete 17 Kb körül változik

A kibontott állomány lefutásakor a féreg több másolatot is készít magáról a Windows könyvtárába, és a Windows\System32 könyvtárba. Az előbbibe RUNDLLX.SYS, az utóbbiba VXD32V.EXE, illetve L32X.EXE néven. Emellett még a Windows Startup könyvtárába is bemásolja magát DLLXW.EXE néven. Az eredeti csatolmányról is készít egy másolatot a Windowson belül ZIP.TMP néven a TEMP alkönyvtárba.

Windows 9x és NT rendszereken a féreg a Registy-n belül hoz létre program indító bejegyzést a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

kulcs alatt "load32" néven, és ehhez a "%SysDir%\L32X.EXE" értéket rendeli.

Windows NT/2k/XP rendszereken a

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows T\CurrentVersion\
Winlogon

kulcson belül a "Shell" változó értékét módosítja: Itt "Explorer.exe" helyett az új érték "explorer.exe %SysDir%\VXD32V.EXE" lesz

A W32.Dumaru.y@MM a Registry bejegyzések módosításán túl a WIN.INI és SYSTEM.INI fájlokba is beépíti saját kötelező indítását:

A WIN.INI fájlban a [windows] szekcióban:

"run" = %WinDir%\RUNDLLX.SYS

A SYTEM.INI [boot] szekciójában a "shell = Explorer.exe helyére

"shell" = explorer.exe %SysDir%\VXD32V.EXE

kerül.

A W32/Dumaru.Y@MM férget január 24-én fedezték fel, és az aznap kiadott 4318-as DAT fájl már tartalmazza a vírus felismeréséhez szükséges információt. A felismeréshez és eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a http://www.networkassociates.com/us/downloads/updates/dat.asp címen.

Kézi eltávolításkor a felismert féregprogramokon kívül törölni kell a féreg által létrehozott egyéb fájlokat is (lásd fentebb), és törölni kell, illetve helyre kell állítani az ismertetőben bemutatott Registry bejegyzéseket, illetve WIN.INI és SYSTEM.INI sorokat is.