Worm.W32/Dumaru.B

Alias:
W32.Dumaru.B@mm (Symantec)

Descripción:
Es un gusano que se propaga a través de correo electrónico. El e-mail está en ingliés y es engañoso: supuestamente procede de microsoft y pide al usuario  que instale un parche. En realidad, si se ejecuta el adjunto, lo que se instala es este virus. Además, porta consigo un troyano.

También escucha en los puertos TCP 10000, 1001 y 2283.

Detalles:Este gusano hace lo siguiente en cuanto se le ejecuta (se pincha en el adjunto en que llega):

1. Se copia a sí mismo como:
   • %Windir%\Dllreg.exe
   • %System%\Load32.exe
   • %System%\Vxdmgr32.exe
   • %Startup%\Rundllw.exe
2. Crea el fichero %Windir%\Windrive.exe (8.192 bytes), que es un troyano de IRC. Cuando se ejecuta se conecta a un servidor IRC predefinido y entra en un canal específico para escuchar comandos del creador del gusano.
3. Crea %Windir%\Winload.log, que es un fichero de log. Aquí guarda las direcciones de e-mail robadas.
4. Añade el valor

         "load32"="%Windir%\load32.exe"

   a la clave del registro

         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

   De esta forma el gusano se ejecutará cada vez que se arranca Windows.

5. Modifica el fichero Win.ini (solo en Windows 95, 98 y Me) como sigue:

         [windows]
         run=%Windir%\dllreg.exe

6. Modifica la sección de boot del fichero system.in (solo en Windows 95, 98 y Me):

         [boot]
         shell=explorer.exe %System%\vxdmgr32.exe

7. Recoge direcciones de e-mail de todos los ficheros con extensiones .htm, .wab, .html, .dbx, .tbb, .abd
8. Usa so propio motor SMTP para enviarse por correo a otras máquinas. El e-mail tiene los siguientes carcterísticas:

   Remitente: "Microsoft"
   Asunto: Use this patch immediately !
   
   Mensaje
   : Dear friend , use this Internet Explorer patch now!
   There are dangerous virus in the Internet now!
   More than 500.000 already infected!
   Adjunto: Patch.exe

9. Infecta ficheros .exe en particiones NTFS
10. Intenta infectar todos los .exe que haya en unidades desde la C a la Z. No obstante, por un error en el código, sólo infectará los .exe del directorio raíz de cada unidad.
11. Escucha en el puerto TCP 10000 por instrucciones remotas, tales como:
    • mkd: "Crea un directorio en la máquina infectada"
    • rmd: "Borra un directorio"
    • port: "Cambia el puerto de escucha"
12. Escucha en puerto TCP 10001 por otros comandos remotos, tales como
    • !exec: "Ejecutar programa en máquina infectada"
    • !cdopen: "Abrir bandeja del CD"
    • !sndplay: "Tocar un sonido"
13. Escucha en el puerto TCP 2283 por más instrucciones, pero estas son para transferirlas a otro servidor (actuando así como un proxy).
14. Captura toda la información del portapapeles y la pasa al fichero %Windir%\Rundllx.sys.
15. Busca ficheros con extensión .kwm y almacena todo lo que encuentra en ellos en el fichero %Windir%\Rundlln.sys.
16. Crea el fichero %Windir%\Guid32.dll donde almacenará pulsaciones del teclado capturadas.

Solución:

• Uso de antivirus actualizado.

Más información acerca de este virus en:

• Symantec

Fuente: red.es