Win32.Dumaru B si C

Ca si predecesorul sau, este un mass mailer executabil care se raspandeste prin e-mail. Toate variantele se folosesc de ingineria sociala si apar ca un fals e-mail de la Microsoft:

Ca si predecesorul sau, este un mass mailer executabil care se raspandeste prin e-mail. Toate variantele se folosesc de ingineria sociala si apar ca un fals e-mail de la Microsoft: security@microsoft.com. Acesta apare avand urmatorul format: From: security@microsoft.com Subiect: Use this patch immediately! Mesaj: Dear friend, use this Internet Explorer patch noow! There are dangerous virus in the Internet now! More than 500.000 already infected! Atasament: patch.exe Un detaliu in plus, in caz de infectie, este prezenta in folderul Startup al fisierului rundllw.exe, speram insa ca acest lucru sa nu se intample. Ce face virusul: 1. Incearca sa opreasca executia a nu mai putin de 83 de procese printre care si aplicatii ale unor eventuali antivirusi. 2. Incearca sa se conecteze la un server ftp si sa puna acolo un fisier .eml care contine parole si alte informatii. 3. Pe sisteme Windows 9x/Me, modifica win.ini si system.ini, pentru a se rula la startup. 4. Aduna adrese de e-mail, cautand in interiorul fisierelor: .htm; .wab; .html; .dbx; .tbb; .abd si incearca sa se trimita la ele in formatul descris anterior, folosindu-se de propriul motor SMTP si de adresa SMTP implicata. 5. Incearca sa infecteze fisiere .exe pe partitii NTFS, insa datorita unui bug, va infecta doar fisiere din radacina drive-urilor. 6. Se conecteaza la un server de IRC si intra pe un anumit canal, asculta pe posturile TCP 1001 si 10000 comenzi. De asemenea, prin portul TCP 2283 datele se trimit ca printr-un proxy. 7. Intercepteaza si scrie clippboard-ul in fisierul %WINDOWS%\rundllx.sys. Intercepteaza si scrie tastele apasate (dar si numele programelor (in fisierul %WINDOWS%\ vxdload.log). Componenta backdoor este imbunatatita de la varianta la varianta. Backdoorul variantei A se conecteaza pe un server de IRC si asculta comenzi. Variantele B si C sunt imbunatatite avand mai multe comenzi si se conecteaza pe mai multe porturi, varanta C trimitand si un screenshot al desktopului catre o anumita adresa. Asadar, atentie maxima la mailurile care par sa vina de la Microsoft pentru ca in marea majoritatea acestea nu sunt altceva decat virusi. Nota: Virusii din aceasta rubrica pot fi eliminati cu antivirusul BitDefender, produs de compania Softwin.