Latest Threats 23/09/03 W32.Dumaru.M@mm

Συζητήσεις και νέα σχετικά με την ασφάλεια των υπολογιστών και των virus που τους προσβάλουν...

Συντονιστές: Super-Moderators, Software & Hardware Moderators

Απάντηση
Άβαταρ μέλους
Expl0it
Honorary Member
Δημοσιεύσεις: 2364
Εγγραφή: 25 Αύγ 2003 23:24
Τοποθεσία: home/sweet/home

Latest Threats 23/09/03 W32.Dumaru.M@mm

Δημοσίευση από Expl0it » 24 Σεπ 2003 17:55

W32.Dumaru.M@mm

* Σημείωση : Οι πληροφορίες που δίνονται για τον καθαρισμό του ιού απο τον υπολογιστή σας,
είναι για προγράμματα αντιμετώπισης ιών της SYMANTEC


O W32.Dumaru.M@mm είναι ένας mass-mailing worm που ρίχνει έναν IRC Trojan σε ένα μολυνσμένο υπολογιστή. Το worm μαζεύει διευθύνσεις email από συγκεκριμένους τύπους αρχείων και χρησιμοποιεί την δική του SMTP μηχανή για να αυτοσταλεί σε αυτές τις διευθύνσεις.

Είδος : Worm

Λειτουργικά Συστήματα που έχουν μολυνθεί : Windows 2000, Windows 95, Windows 98, Windows Me,
Windows NT, Windows Server 2003, Windows XP

Λειτουργικά Συστήματα που δεν έχουν μολυνθεί : DOS, Linux, Macintosh, OS/2, UNIX


Όταν ο W32.Dumaru.M@mm τρέξει για πρώτη φορά στον υπολογιστή σας εκτελεί τις παρακάτω ενέργειες :

1 Αντιγράφεται ως τα παρακάτω :

%Windir%\Dllreg.exe
%System%\Load32.exe
%System%\Vxdmgr32.exe
%Startup%\Rundllw.exe

* Σημείωση :

* To %Windir% είναι μια μεταβλητή: Το worm εντοπίζει τo φάκελο εγκαταστάσεων Windows και αντιγράφεται σε εκείνη την θέση. Εξ ορισμού, αυτό είναι C:\Windows ή C:\Winnt.

* To %System% είναι μια μεταβλητή: Το worm εντοπίζει τo φάκελο εγκαταστάσεων Windows και αντιγράφεται σε εκείνη την θέση. Εξ ορισμού, αυτό είναι C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), ή C:\Windows\System32 (Windows XP).

* To %Startup% είναι μια μεταβλητή: Το worm εντοπίζει τo φάκελο εγκαταστάσεων Windows και αντιγράφεται σε εκείνη την θέση. π.χ : C:\Windows\Start Menu\Programs\Startup στα Windows 98 σύστημα.


2 Δημιουργεί το %Windir%\Windrive.exe (12,288 bytes), το οποίο είναι ένα IRC Trojan. Όταν το worm οργανώνεται, συνδέεται με έναν προκαθορισμένο κεντρικό υπολογιστή IRC και ενώνει ένα συγκεκριμένο κανάλι για να ακούσει τις εντολές από το δημιουργό του.

3 Δημιουργεί το %Windir%\Winload.log, το οποίο είναι ένα αρχείο ημερολογίου. Το worm χρησιμοποιεί αυτό το αρχείο για να καταχωρήσει τις κλεμμένες διευθύνσεις email.

* Σημείωση : Αυτό το αρχείο δεν προέρχεται από τον ιό και επομένως, τα προϊόντα αντιμετώπισης ιών της Symantec δεν ανιχνεύουν αυτό το αρχείο. Διαγράψτε το αρχείο μόνοι σας εάν το σύστημά σας είναι μολυσμένο με αυτό το worm.

4 Προσθέτει την τιμή :

"load32"="%Windir%\load32.exe"

Στο Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Έτσι ώστε το worm να τρέχει κάθε φορά που ξεκινάτε τα Windows.


5 Δημιουργεί το Registry Key:

HKEY_LOCAL_MACHINE\SOFTWARE\SARS

και προσθέτει την τιμή "kwmfound" σε αυτό το key. Το worm χρησιμοποιεί αυτήν την τιμή σαν υπογραφή μολύνσεως του υπολογιστή.


6 Τροποποιεί το τμήμα [windows] του αρχείου Win.ini (μόνο στα Windows 95/98/Me) όπως παρακάτω :

[windows]
run=%Windir%\dllreg.exe

7 Τροποποιεί το τμήμα [boot] του αρχείου system.ini file (μόνο στα Windows 95/98/Me) όπως παρακάτω :

[boot]
shell=explorer.exe %System%\vxdmgr32.exe

8 Ανακτά διευθύνσεις email από τα αρχεία που έχουν τις ακόλουθες επεκτάσεις :

.htm
.wab
.html
.dbx
.tbb
.abd

9 Χρησιμοποιεί τη δική του μηχανή SMTP για να αυτοσταλεί με email.

Το email έχει τα παρακάτω χαρακτηριστικά :

From: "Microsoft" <security@microsoft.com>
Subject: Use this patch immediately !
Message:
Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Attachment: Patch.exe


10 Μολύνει αρχεία .exe στα partitions που είναι στημένα με NTFS, με τον ακόλουθο τρόπο:

* Αντιγράφει το αρχικό αρχείο στο steam, < αρχικό filename>:STR.

* Επικαλύπτει το αρχικό όνομα αρχείου με το worm.


* Σημείωση : Ο Explorer δεν θα είναι σε θέση να παρουσιάσει το αρχικό αρχείο, δεδομένου ότι περιλαμβάνεται μέσα σε ένα stream.

11 Προσπαθεί να μολύνει όλα τα αρχεία .exe στα Drives C ως Z. Όμως λόγω κάποιων προγραμματιστικών λαθών στον κώδικα, το worm θα μολύνει μόνο τα αρχεία στο φάκελο ROOT των Drives C ως Z.

12 Ακούει στην TCP port 10000 για εντολές απο τον δημιουργό του, όπως οι παρακάτω :

mkd: "Create a directory on the infected machine"
rmd: "Remove directory on the infected machine"
port: "Change the port to the port specified"

13 Ακούει στην TCP port 1001 για εντολές απο τον δημιουργό του, όπως οι παρακάτω :

!exec: "Execute program on the infected machine"
!cdopen: "Open the CD-ROM on the infected machine"
!sndplay: "Play a sound on the infected machine"

14 Παρακολουθεί για συνδέσεις στην TCP port 2283 και περιμένει οδηγίες, τις οποίες το worm θα διαβιβάσει σε έναν άλλο κεντρικό υπολογιστή, ενεργώντας ως Proxy Server.

15 Προσπαθεί να συλλάβει όλες τις πληροφορίες που σώζονται στην περιοχή Clipboard στο αρχείο, %Windir%\Rundllx.SYS.

16 Αναζητεί όλα τα αρχεία που έχουν.kwm επέκταση και αποθηεύει οτιδήποτε στοιχείο περιλαμβάνεται μέσα σε εκείνα, στο αρχείο, %Windir%\Rundlln.SYS

17 Δημιουργεί το αρχείο, %Windir%\Guid32.dll, το οποίο καταγράφει τις πληκτρολογήσεις στο %Windir%\Vxdload.log.

18 Στέλνει ένα αρχείο μορφής email που περιέχει τις κλεμμένες πληροφορίες σε έναν προκαθορισμένο κεντρικό υπολογιστή FTP. Το worm ανακτά τον εγγραμμένο ιδιοκτήτη από την Registry.

Το email έχει τα ακόλουθα χαρακτηριστικά :

From: <registered owner> <address@yandex.ru>
To: you


19 Τερματίζει τις παρακάτω λειτουργίες :

Agentsvr.exe
Ants.exe
Aplica32.exe
Apvxdwin.exe
Atcon.exe
Atupdater.exe
Atwatch.exe
Avsynmgr.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Defwatch.exe
Drwatson.exe
Fast.exe
Frw.exe
Guard.exe
Iamapp.exe
Iamserv.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Lockdown.exe
Lockdown2000.exe
Luall.exe
Lucomserver.exe
Mcagent.exe
Mcupdate.exe
Mgui.exe
Minilog.exe
Moolive.exe
Msconfig.exe
Mssmmc32.exe
Ndd32.exe
Netstat.exe
Nisserv.exe
Nisum.exe
Nmain.exe
Nprotect.exe
Nsched32.exe
Nvarch16.exe
Pavproxy.exe
Pcciomon.exe
Pcfwallicon.exe
Persfw.exe
Poproxy.exe
Pview95.exe
Regedit.exe
Rtvscn95.exe
Safeweb.exe
Sphinx.exe
Spyxx.exe
Ss3edit.exe
Sysedit.exe
Taumon.exe
Tc.exe
Tca.exe
Tcm.exe
Tds2-98.exe
Tds2-nt.exe
Tds-3.exe
Update.exe
Vpc42.exe
Vptray.exe
Vsecomr.exe
Vshwin32.exe
Vsmain.exe
Vsmon.exe
Vsstat.exe
Watchdog.exe
Webscanx.exe
Wgfe95.exe
Wradmin.exe
Wrctrl.exe
Wrctrl.exe
Zapro.exe
Zatutor.exe
Zauinst.exe
Zonealarm.exe

ΟΔΗΓΕΙΕΣ ΚΑΘΑΡΙΣΜΟΥ ΤΟΥ W32.Dumaru.M@mm ΑΠΟ ΤΟΝ ΥΠΟΛΟΓΙΣΤΗ ΣΑΣ

1) Θέστε εκτός λειτουργίας το System Restore (Windows Me/XP).
2) Κάντε Update τα virus definitions.
3) Κάντε ένα Full system scan και διαγράψτε όλα τα αρχεία που θα εντοπισθούν ως W32.Dumaru.M@mmor IRC Trojan. Επαναφέρετε όλα τα αρχεία .exe στο φάκελο ROOT των Drives C ως Z
4) Διαγράψτε τις τιμές που προστέθηκαν στην Registry.
5) Βρείτε και διαγράψτε τα αρχεία, χρησιμοποιόντας το Windows Find ή το Search utility.
6) Διαγράψτε τις γραμμές που πρόσθεσε το Worm στα αρχεία Win.ini και System.ini (Windows 95/98/Me).


Για περισσότερες πληροφορίες σχετικά με τον W32.Dumaru.M@mm πατήστε ΕΔΩ


Filter

Εικόνα

Greek Web Angel

Απάντηση

Επιστροφή στο “Security, antiVirus & antiSpyWare”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 0 επισκέπτες