A
saját SMTP motort is tartalmazó W32/Dumaru.y@MM e-mail leveleken keresztül
terjed. A megfertőzött rendszereken a .HTM, . HTML, .WAB, .DBX, .TBB és .ABD
kiterjesztésű fájlokból gyűjti össze az email címeket, de emellett speciális
böngésző funkciók (online banking!) közben a billentyűleütéseket is naplózza. Az
így rögzített adatokat egy VXDLOAD.LOG nevű fájlba vezeti be. A fentieken túl a
vágólapról is képes adatokat lopni, ezeket pedig egy RUNDLLX.SYS nevű fájlba
vezeti be. Naplófájljait a féreg megpróbálja email levélben elküldeni
alkotójának, a féregbe "bedrótozott" email címekre.
Amennyiben
a megfertőzött gép nem rendelkezik megbízható tűzfalas védelemmel, a féreg a
2283-as és 10000-es portokon várja, hogy készítője vagy egy másik hacker
utasításokat adjon számára, például FTP parancsokkal.
A Dumaru.y
egy csatolt ZIP fájlban érkezik, melynek tartalma egy olyan állomány, amelyben
egy "MYPHOTO.JPG
.EXE" fájlt található. A .EXE előtti sok szóköz miatt a tényleges
kiterjesztés többnyire észrevétlen marad.
Feladó: (általában hamis cím)
Tárgy: Important information for you. Read it immediately !
Szöveg: Hi!
Here is my photo, that you asked for yesterday.
...
Csatolt
állomány: MYPHOTO.ZIP, mérete 17 Kb
körül változik
A
kibontott állomány lefutásakor a féreg több másolatot is készít magáról a
Windows könyvtárába, és a Windows\System32
könyvtárba. Az előbbibe RUNDLLX.SYS, az utóbbiba VXD32V.EXE, illetve
L32X.EXE néven. Emellett még a Windows Startup könyvtárába is bemásolja magát
DLLXW.EXE néven. Az eredeti csatolmányról is készít egy másolatot a Windowson
belül ZIP.TMP néven a TEMP alkönyvtárba.
Windows
9x és NT rendszereken a féreg a Registy-n belül hoz létre program indító
bejegyzést a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
kulcs
alatt "load32" néven, és ehhez a "%SysDir%\L32X.EXE" értéket rendeli.
Windows
NT/2k/XP rendszereken a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows T\CurrentVersion\
Winlogon
kulcson belül a "Shell" változó értékét módosítja: Itt "Explorer.exe" helyett az új érték "explorer.exe %SysDir%\VXD32V.EXE" lesz
A W32.Dumaru.y@MM a Registry bejegyzések módosításán túl a WIN.INI és SYSTEM.INI fájlokba is beépíti saját kötelező indítását:
A WIN.INI fájlban a [windows] szekcióban:
"run" = %WinDir%\RUNDLLX.SYS
A SYTEM.INI [boot] szekciójában a "shell = Explorer.exe helyére
"shell" = explorer.exe %SysDir%\VXD32V.EXE
kerül.
A W32/Dumaru.Y@MM
férget január 24-én fedezték fel, és az aznap kiadott 4318-as DAT fájl már
tartalmazza a vírus felismeréséhez szükséges információt. A felismeréshez és
eltávolításhoz a legfrissebb DAT és EXTRA.DAT fájlok már elérhetőek a http://www.networkassociates.com/us/downloads/updates/dat.asp
címen.
Kézi
eltávolításkor a felismert féregprogramokon kívül törölni kell a féreg által
létrehozott egyéb fájlokat is (lásd fentebb), és törölni kell, illetve helyre
kell állítani az ismertetőben bemutatott Registry bejegyzéseket, illetve
WIN.INI és SYSTEM.INI sorokat is.