W32/Dumaru.y@MM: már közepesen veszélyes a levelező féreg

Az AVERT, a Network Associates vírusszakértői csoportja közleménye szerint a W32/Dumaru.y@MM email-féreg veszélyességi besorolását "alacsonyról" "közepesre" növelte.

A saját SMTP motort is tartalmazó W32/Dumaru.y@MM e-mail leveleken keresztül terjed. A megfertőzött rendszereken a .HTM, . HTML, .WAB, .DBX, .TBB és .ABD kiterjesztésű fájlokból gyűjti össze az email címeket, de emellett speciális böngésző funkciók (online banking!) közben a billentyűleütéseket is naplózza. Az így rögzített adatokat egy VXDLOAD.LOG nevű fájlba vezeti be. A fentieken túl a vágólapról is képes adatokat lopni, ezeket pedig egy RUNDLLX.SYS nevű fájlba vezeti be. Naplófájljait a féreg megpróbálja email levélben elküldeni alkotójának, a féregbe "bedrótozott" email címekre.

Amennyiben a megfertőzött gép nem rendelkezik megbízható tűzfalas védelemmel, a féreg a 2283-as és 10000-es portokon várja, hogy készítője vagy egy másik hacker utasításokat adjon számára, például FTP parancsokkal.


A Dumaru.y egy csatolt ZIP fájlban érkezik, melynek tartalma egy olyan állomány, amelyben egy "MYPHOTO.JPG .EXE" fájlt található. A .EXE előtti sok szóköz miatt a tényleges kiterjesztés többnyire észrevétlen marad.

Feladó: (általában hamis cím)
Tárgy: Important information for you. Read it immediately !
Szöveg: Hi!
Here is my photo, that you asked for yesterday.
Csatolt állomány: MYPHOTO.ZIP, mérete 17 Kb körül változik

A kibontott állomány lefutásakor a féreg több másolatot is készít magáról a Windows könyvtárába, és a Windows\System32 könyvtárba. Az előbbibe RUNDLLX.SYS, az utóbbiba VXD32V.EXE, illetve L32X.EXE néven. Emellett még a Windows Startup könyvtárába is bemásolja magát DLLXW.EXE néven. Az eredeti csatolmányról is készít egy másolatot a Windowson belül ZIP.TMP néven a TEMP alkönyvtárba.

Windows 9x és NT rendszereken a féreg a Registy-n belül hoz létre program indító bejegyzést a HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\ CurrentVersion\Run kulcs alatt "load32" néven, és ehhez a "%SysDir%\L32X.EXE" értéket rendeli. Windows NT/2k/XP rendszereken a HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows T\ CurrentVersion\ Winlogon kulcson belül a "Shell" változó értékét módosítja: Itt "Explorer.exe" helyett az új érték "explorer.exe %SysDir%\VXD32V.EXE" lesz.

A W32.Dumaru.y@MM a Registry bejegyzések módosításán túl a WIN.INI és SYSTEM.INI fájlokba is beépíti saját kötelező indítását: A WIN.INI fájlban a [windows] szekcióban: "run" = %WinDir%\RUNDLLX.SYS
A SYTEM.INI [boot] szekciójában a "shell = Explorer.exe helyére "shell" = explorer.exe %SysDir%\VXD32V.EXE kerül.

A W32/Dumaru.Y@MM férget január 24-én fedezték fel. Kézi eltávolításkor a felismert féregprogramokon kívül törölni kell a féreg által létrehozott egyéb fájlokat is (lásd fentebb), és törölni kell, illetve helyre kell állítani az ismertetőben bemutatott Registry bejegyzéseket, illetve WIN.INI és SYSTEM.INI sorokat is.