Внимание! вирусная эпидемия: новые почтовые черви семейства Dumaru опять рассылают "Мои фотографии"

26 января 2004

[26.01.2004]

Служба мониторинга вирусной активности ЗАО «ДиалогНаука» сообщает о быстром распространении по сети Интернет новых вариантов почтового червя массовой рассылки из семейства Dumaru. Все три новых варианта определяются антивирусной программой Dr.Web® как Win32.HLLM.Dumaru. Два из них не представляли никакой угрозы для пользователей нашего антивируса с самого первого момента их появления - они детектировались всеми компонентами антивируса Dr.Web® по имени своего прародителя, появившегося еще в августе прошлого года на волне бушевавшего тогда вируса LoveSan. Этот червь детектируется с 21 августа 2003 года - именно как Win32.HLLM.Dumaru. Защита от еще одного варианта этого червя, прежде не определявшегося антивирусом Dr.Web®, добавлена в вирусную базу 24 января.

Почтовое сообщение от некой "Elene" с темой Important information for you. Read it immediately ! и сопровождающим его текстом Hi ! Here is my photo, that you asked for yesterday. несет в себе вредоносное вложение MYPHOTO.ZIP. Внутри архива находится исполняемый файл - myphoto.jpg             .exe. Между двумя расширениями это файла находится множество пробелов - таким образом автор червя пытается выдать исполняемый вирусный модуль за безобидный файл в формате .JPG.

    Запуск червя на компьютере производится самим пользователем!
Запущенный червь копирует себя в системную директорию в виде файлов L32X.EXE и VXD32V.EXE. Еще одну свою копию DLLXW.EXE он помещает в стартовую директорию. Чтобы обеспечить свой запуск в пораженной системе червь прописывает путь к своей копии L32X.EXE в ключе автозапуска реестра и вносит изменения в секцию [boot] файла SYSTEM.INI.

Получив контроль над системой, червь производит следующие действия:

  • Рассылает почтовые сообщения по адресам, содержащимся в файлах с расширениями .abd, dbx, .htm,.html, . tbb, и .wab. Собранные адреса червь хранит в создаваемом им файле WINLOAD.LOG
  • похищает пароли и сохраняет их в файле VXDLOAD.LOG. Особенно его интересуют пароли, вносимые пользователем на веб-формах сайта www.e-gold.com
  • собирает информацию из clipboard и сохраняет ее в файле RUNDLLX.SYS
  • время от времени отправляет по электронной почте данные из файлов VXDLOAD.LOG. и RUNDLLX.SYS
  • открывает порты в системе и ждет команд от удаленного пользователя. Данная деятельность червя приводит к компрометации системы и возможности осуществления в ней различных действий, несанкционированных ее пользователем.
8
;