Worm.Dumaru.ba

2008-02-23 09:31:45来源：互联网阅读 ()

病毒名称: Worm.Dumaru.ba 类别：蠕虫病毒资料：破坏方法：

通过邮件传播的蠕虫病毒，采用FSG保护

1.本地感染：

一旦运行，病毒将复制自身到本地机器的系统目录下，文件名为：
％SYSDIR％\L32X.EXE
％STARTUP％\DLLXW.EXE

2.自启动：
它将创建下列注册表键值来使自己随Windows系统自启动：
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
"load32" = ％SYSDIR％\L32X.EXE

3.网络传播：

病毒搜索本机下列扩展名的文件来搜索Email地址并向这些地址发送带毒邮件：
.htm
.wab
.Html
.dbx
.tbb
.abd
发送邮件的消息标题为：
Important information for you. Read it immediately
正文：
Here is my photo, that you asked for yesterday.
...
附件是一个带有多个空格的可执行文件，由于文件名很长，且文件的图标为类似JPG图片的图标，很容易造成用户误以为是一张图片从而点击执行。

4.破坏行为：
病毒运行后会建立三个线程：
第一个用来监视剪贴板并将剪贴板的敏感内容保存在文件：rundllx.sys中以备后用
第二个用来记录键盘操作并保存在文件：vxdload.log中：
它设置钩子来拦截鼠标左键点击和键盘WM_KEYDOWN消息、
记录包含下列信息窗口过程的键盘操作记录：
https://www.e-gold.com/srk.ASP
e-gold Account Access
e-metal
bull
Bull
mull
PayPal
bank
另外一个用网络传播<向搜索到的Email地址发送带毒邮件>

病毒将向指定的email地址发送上述文件的内容，盗取用户信息
该病毒还能自动更新。

注: ％SYSDIR％是可变的WINDOWS系统文件夹，默认为： C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP).
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-2-4

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有