Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Dumaru@MM

Alias:
w32/Dumaru@mm (McAfee), WORM_DUMARU.A (Trend Micro), W32.Dumaru@mm (Symantec), Win32.Dumaru.A@mm (Bit Defender), Win32/Dumaru.A (Enciclopedia Virus (Ontinent)), Win32.Dumaru (Computer Associates)

Descripción:
Gusano diseñado para el envío masivo de correos mediante un fichero adjunto.

El remitente del correo es "security@microsoft.com" y simula ser una recomendación para la instalación de un parche.

Remitente: "Microsoft" security@microsoft.com
Asunto: Use this patch immediately !
Adjunto: patch.exe

Dispone de capacidades para la captura y almacenamiento de pulsaciones de teclado, motivo por el cual también es detectado por algunos fabricantes como TROJ_NAROD.A, o PWS-Narod.

Detalles:
Una vez ejecutado el fichero adjunto, se llevarán a cabo las siguientes tareas:

  • Descargará los siguientes ficheros en las ubicaciones indicadas:
    • c:\WINDOWS\dllreg.exe
    • c:\WINDOWS\SYSTEM\load32.exe
    • c:\WINDOWS\SYSTEM\vxdmgr32.exe

  • Crea el fichero %Windir%\windrv.exe (8,192 bytes). Troyano IRC que al ser ejecutado se conectará a un canal predefinido de un servidor IRC desde donde poder recibir comandos remotos del autor.
  • Crea el ficehro %Windir%\winload.log, como fichero de log, que será utilizado por el gusano para almacenar las direcciones capturadas a las que luego enviarse.

    Este fichero no posee carga vírica alguna, y dede ser eliminado manualmente, ya que la mayoría de los sistemas antivirus no lo detectan.
  • Realizará la siguiente modificación en el registro para facilitarse su ejecución en el inicio de Windows: 
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"load32" = C:\windows\system\load32.exe
  • Modifica el fichero win.ini (sólamente en sistemas Windows 95/98/Me): 
    [windows]
run=%Windir%\dllreg.exe
  • Modifica el fichero system.ini (sólamente en sistemas Windows 95/98/Me):
     
    [boot]
shell=explorer.exe %System%\vxdmgr32.exe
  • Se enviará a sí mismo a todas las direcciones contenidas en ficheros de los siguientes tipos gracias a la utilización de su propio SMTP:
    • .htm
    • .wab
    • .html
    • .dbx
    • .tbb
    • .abd
  • El correo enviado tiene las siguientes características:
      Remitente: "Microsoft" security@microsoft.com
      Asunto: Use this patch immediately !
      Adjunto: patch.exe

      El       contenido del mensaje será:       
      Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
  • Dispone de capacidades para la captura y almacenamiento de pulsaciones de teclado, motivo por el cual también es detectado por algunos fabricantes como TROJ_NAROD.A, o PWS-Narod.

Solución:

  • Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados