• Dumaru清除工具是一个轻型应用程序,可以完全删除该Win32.Dumaru虫在其所有的变体。

    Win32.Dumaru.A@mm 达作为一个虚假的电子邮件从Microsoft:

    从:"微软"[email protected]

    主题:使用这片马上!

    身体:

    亲爱的朋友,使用这Internet Explorer修补现在!

    有危险的病毒在互联网上现在!

    多500.000已经感染了!

    附件:patch.exe

    在执行时,病毒就会做到以下几点:

    复制本身为:

    %SYSTEM%load32.exe

    %WINDOWS%dllreg.exe

    %SYSTEM%vxdmgr32.exe

    下降并执行一个后门组件

    %WINDOWS%windrv.exe (8192字节)

    它连接到因诺琴蒂研究中心的服务器并加入一个密码保护的渠道,发出一个登录通知,并等待提交人发出的命令。

    创造的价值

    "load32"="%SYSTEM%load32.exe"

    在注册表中的关键

    [HKLMSoftwareMicrosoftWindowsCurrentversionrun]

    在Windows9x/Me系统,它并如下:

    使用RegisterServiceProcess隐藏其存在;

    修改系统。ini通过加入条[启动]的部分:

    shell=explorer.exe %System%vxdmgr32.exe

    修改获胜。ini通过添加以下条[窗口]部分:

    run=C:WINDOWSdllreg.exe

    收获的电子邮件地址,从匹配的文件

    *.htm

    *.wab

    *.html

    *.dbx

    *.tbb

    *.阿卜杜勒*

    并将它们存在%WINDOWS%winload的。日志的文件。

    它使用它自己的SMTP引擎和发送本身的电子邮件收获winload的。日志的文件(见上文对受感染的电子邮件格式)。

    它搜索*.exe文件属于几个病毒/安全的产品,并试图复盖它们的副本,该病毒。

    Win32.Dumaru.B/C@mm 是批量邮寄者具有后门能力(听上TCP口1001,2283,10000),还附带了一个键盘记录。

    试图终止的进程属于一些安全和防病毒程序。

    在大损失的分区中,它可以复盖。exe文件的副本,该病毒。

    它传播采用这个格式:

    自:

    [email protected]

    主题:

    使用这个补丁,马上!

    身体:

    亲爱的朋友,使用这Internet Explorer修补现在!

    有危险的病毒在互联网上现在!

    多500.000已经感染了!

    附件:

    patch.exe

    一旦运行,病毒是否如下:

    1. 创造了上述文件和注册表/项目。

    2. 试图终止的过程:

    ZAUINST.EXE

    ZAPRO.EXE

    ZONEALARM.EXE

    ZATUTOR.EXE

    MINILOG.EXE

    VSMON.EXE

    LOCKDOWN.EXE

    ANTS.EXE

    FAST.EXE

    GUARD.EXE

    TC.EXE

    SPYXX.EXE

    PVIEW95.EXE

    REGEDIT.EXE

    DRWATSON.EXE

    SYSEDIT.EXE

    NSCHED32.EXE

    MOOLIVE.EXE

    TCA.EXE

    TCM.EXE

    TDS-3.EXE

    SS3EDIT.EXE

    UPDATE.EXE

    ATCON.EXE

    ATUPDATER.EXE

    ATWATCH.EXE W

    GFE95.EXE

    POPROXY.EXE

    NPROTECT.EXE

    VSSTAT.EXE

    VSHWIN32.EXE

    NDD32.EXE

    MCAGENT.EXE

    MCUPDATE.EXE

    WATCHDOG.EXE

    TAUMON.EXE

    IAMAPP.EXE

    IAMSERV.EXE

    LOCKDOWN2000.EXE

    SPHINX.EXE

    WEBSCANX.EXE

    VSECOMR.EXE

    PCCIOMON.EXE

    ICLOAD95.EXE

    ICMON.EXE

    ICSUPP95.EXE

    ICLOADNT.EXE

    ICSUPPNT.EXE

    FRW.EXE

    BLACKICE.EXE

    BLACKD.EXE

    WRCTRL.EXE

    WRADMIN.EXE

    WRCTRL.EXE

    PCFWALLICON.EXE

    APLICA32.EXE

    CFIADMIN.EXE

    CFIAUDIT.EXE

    CFINET32.EXE

    CFINET.EXE

    TDS2-98.EXE

    TDS2-NT.EXE

    SAFEWEB.EXE

    NVARCH16.EXE

    MSSMMC32.EXE

    PERSFW.EXE

    VSMAIN.EXE

    LUALL.EXE

    LUCOMSERVER.EXE

    AVSYNMGR.EXE

    DEFWATCH.EXE

    RTVSCN95.EXE

    VPC42.EXE

    VPTRAY.EXE

    PAVPROXY.EXE

    APVXDWIN.EXE

    AGENTSVR.EXE

    NETSTAT.EXE

    MGUI.EXE

    MSCONFIG.EXE

    NMAIN.EXE

    NISUM.EXE

    NISSERV.EXE

    3. 在Windows9x/Me系统,改变了胜利。ini和系统。ini,以便在启动时运行。

    [窗口]

    run=%WINDOWS%dllreg.exe

    [启动]

    shell=explorer.exe %SYSTEM%vxdmgr32.exe

    4. 收电子邮件地址通过搜索内:

    中。htm

    中。wab

    中。html

    中。dbx

    中。tbb

    中。阿卜杜勒*

    以及试图发送本身使用电子邮件的格式上所述,使用它自己的SMTP引擎和默认SMTP地址。

    5. 试图感染的。exe文件上的损失的分区,但由于在一个错误的搜索,它只会感染。文件上的根源驱动器。

    6. 连接到因诺琴蒂研究中心的服务器,并加入一道,听上口1001,10000(TCP)命令从一个攻击者。 此外,口2283(TCP)用作通过发送(像一个代理人)。

    7. 捕获和记录clippboard到%WINDOWS%undllx.sys

    8. 捕获和记录按键(也是节目的名称)以%WINDOWS%vxdload的。日志

    9. 尝试连接到一个ftp服务器上传的一个。eml文件,该文件包含的密码和其他信息。

    Win32.Dumaru.Y@mm 是一种蠕虫,来通过邮件在以下信息:

    自:"忆念美"

    主题:重要的信息给你。 读它。

    身体:

    嗨!

    这里是我的照片,那你问过的昨天。

    附件:MYPHOTO.JPG 中。EXE

    蜗副本本身为Windows系统上的文件夹,名字L32X.EXE 和VXD32V.EXE 并启动文件夹中的名称DLLXW.EXE,增加了登记册的关键:

    HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunload32=L32X.EXE

    此外,它增加了壳线(在系统。INI在Windows95、98和我,或在注册于Windows NT,2000和XP):

    壳=%SYSTEMDIR%vxd32.exe

    一个键盘记录和剪贴板的监视器也被安装,和蠕虫的监听命令港口和2283打开了一个FTP服务器的端口10000次。

    质量邮件收集的电子邮件地址文件的扩展。htm,用。wab的。html.dbx的。tbb,用。阿卜杜和发送电子邮件使用其自己的发动机。

  • Dumaru हटाने के उपकरण है कि एक हल्के आवेदन कर सकते हैं पूरी तरह से मिटा Win32.Dumaru कीड़ा अपने सभी वेरिएंट में.

    Win32.Dumaru.A@mm आता है के रूप में एक नकली ईमेल Microsoft से:

    से: "माइक्रोसॉफ्ट" [email protected]

    विषय: इस पैच का उपयोग तुरंत !

    शरीर:

    प्रिय दोस्त , इस का उपयोग करें इंटरनेट एक्सप्लोरर पैच अब!

    वहाँ रहे हैं, खतरनाक वायरस अब इंटरनेट में!

    अधिक से अधिक 500.000 पहले से ही संक्रमित!

    अनुलग्नक: patch.exe

    जब मार डाला, वायरस निम्न कार्य करना होगा:

    प्रतिलिपि के रूप में ही:

    %SYSTEM%load32.exe

    %WINDOWS%dllreg.exe

    %SYSTEM%vxdmgr32.exe

    बूंदों और निष्पादित एक पिछले दरवाजे घटक

    %WINDOWS%windrv.exe (8192 बाइट्स)

    से जोड़ता है, जो करने के लिए एक आईआरसी सर्वर और एक पासवर्ड से सुरक्षित चैनल को भेजता है, एक लॉगिन सूचना और इंतजार कर रहा है के लेखक के लिए करने के लिए आदेश जारी.

    बनाता है मूल्य

    "load32"="%SYSTEM%load32.exe"

    रजिस्ट्री में कुंजी

    [HKLMSoftwareMicrosoftWindowsCurrentversionrun]

    पर Windows 9x/मेरे सिस्टम पर, यह निम्न है:

    का उपयोग करता है RegisterServiceProcess छिपाने के लिए अपनी उपस्थिति;

    संशोधित प्रणाली है । ini जोड़ने के द्वारा में प्रवेश के [बूट] अनुभाग:

    shell=explorer.exe %System%vxdmgr32.exe

    संशोधित करता है जीतने के लिए.ini जोड़ने के द्वारा निम्न प्रविष्टि में [Windows] अनुभाग:

    run=C:WINDOWSdllreg.exe

    फसल ई-मेल पते से मिलान फ़ाइलें

    *.htm

    *.wab

    *.html

    *.dbx

    *.tbb

    *.अब्द

    और दुकानों में उन्हें %WINDOWS%winload.लॉग फ़ाइल है ।

    यह का उपयोग करता है यह अपने SMTP इंजन और खुद को भेजता है करने के लिए ई-मेल में काटा winload.लॉग फ़ाइल (के लिए ऊपर देखें संक्रमित ई-मेल प्रारूप).

    यह खोजों के लिए *.exe फ़ाइलों से संबंधित कई एंटीवायरस/सुरक्षा उत्पादों और प्रयास करने के लिए उन्हें अधिलेखित की प्रतियों के साथ वायरस.

    Win32.Dumaru.B/C@mm एक मास मेलर है कि पिछले दरवाजे क्षमताओं (पर सुनता TCP पोर्ट 1001, 2283, 10000) और भी साथ आता है एक keylogger है.

    प्रयास करने के लिए प्रक्रियाओं को समाप्त करने के लिए संबंधित कई सुरक्षा और एंटीवायरस प्रोग्राम है.

    NTFS विभाजन पर, यह ऊपर लिख सकता है .exe फ़ाइलों की प्रतियों के साथ वायरस.

    यह फैलता है और इस प्रारूप का उपयोग कर:

    से:

    [email protected]

    विषय:

    इस पैच का उपयोग तुरंत !

    शरीर:

    प्रिय दोस्त , इस का उपयोग करें इंटरनेट एक्सप्लोरर पैच अब!

    वहाँ रहे हैं, खतरनाक वायरस अब इंटरनेट में!

    अधिक से अधिक 500.000 पहले से ही संक्रमित!

    अनुलग्नक:

    patch.exe

    एक बार चलाने के लिए, वायरस निम्न है:

    1. बनाता है ऊपर उल्लिखित फ़ाइलें और रजिस्ट्री कुंजी/प्रविष्टियों.

    2. प्रयास करने के लिए प्रक्रियाओं को समाप्त:

    ZAUINST.EXE

    ZAPRO.EXE

    ZONEALARM.EXE

    ZATUTOR.EXE

    MINILOG.EXE

    VSMON.EXE

    LOCKDOWN.EXE

    ANTS.EXE

    FAST.EXE

    GUARD.EXE

    TC.EXE

    SPYXX.EXE

    PVIEW95.EXE

    REGEDIT.EXE

    DRWATSON.EXE

    SYSEDIT.EXE

    NSCHED32.EXE

    MOOLIVE.EXE

    TCA.EXE

    TCM.EXE

    TDS-3.EXE

    SS3EDIT.EXE

    UPDATE.EXE

    ATCON.EXE

    ATUPDATER.EXE

    ATWATCH.EXE डब्ल्यू

    GFE95.EXE

    POPROXY.EXE

    NPROTECT.EXE

    VSSTAT.EXE

    VSHWIN32.EXE

    NDD32.EXE

    MCAGENT.EXE

    MCUPDATE.EXE

    WATCHDOG.EXE

    TAUMON.EXE

    IAMAPP.EXE

    IAMSERV.EXE

    LOCKDOWN2000.EXE

    SPHINX.EXE

    WEBSCANX.EXE

    VSECOMR.EXE

    PCCIOMON.EXE

    ICLOAD95.EXE

    ICMON.EXE

    ICSUPP95.EXE

    ICLOADNT.EXE

    ICSUPPNT.EXE

    FRW.EXE

    BLACKICE.EXE

    BLACKD.EXE

    WRCTRL.EXE

    WRADMIN.EXE

    WRCTRL.EXE

    PCFWALLICON.EXE

    APLICA32.EXE

    CFIADMIN.EXE

    CFIAUDIT.EXE

    CFINET32.EXE

    CFINET.EXE

    TDS2-98.EXE

    TDS2-NT.EXE

    SAFEWEB.EXE

    NVARCH16.EXE

    MSSMMC32.EXE

    PERSFW.EXE

    VSMAIN.EXE

    LUALL.EXE

    LUCOMSERVER.EXE

    AVSYNMGR.EXE

    DEFWATCH.EXE

    RTVSCN95.EXE

    VPC42.EXE

    VPTRAY.EXE

    PAVPROXY.EXE

    APVXDWIN.EXE

    AGENTSVR.EXE

    NETSTAT.EXE

    MGUI.EXE

    MSCONFIG.EXE

    NMAIN.EXE

    NISUM.EXE

    NISSERV.EXE

    3. पर Windows 9x/Me सिस्टम, बदल जीतने के लिए । ini और system.ini क्रम में करने के लिए स्टार्टअप पर चलाने.

    [windows]

    run=%WINDOWS%dllreg.exe

    [बूट]

    shell=explorer.exe %SYSTEM%vxdmgr32.exe

    4. फसल ई-मेल पते के द्वारा खोज के अंदर:

    है । htm

    है । wab

    है । html

    है । dbx

    है । tbb

    है । अब्द

    और प्रयास करने के लिए खुद को भेजने का उपयोग कर ई-मेल स्वरूप में ऊपर वर्णित का उपयोग कर, यह अपने SMTP इंजन और डिफ़ॉल्ट SMTP पता है ।

    5. प्रयास को संक्रमित करने के लिए है । exe फ़ाइलों को NTFS विभाजन पर है, लेकिन कारण एक बग के लिए खोज में, यह केवल संक्रमित .exe फ़ाइल के रूट पर ड्राइव.

    6. जोड़ता है करने के लिए एक आईआरसी सर्वर, और करने के लिए एक चैनल है, पर सुनता पोर्ट 1001, 10000 (टीसीपी) के लिए आदेश से एक हमलावर है । इसके अलावा, पोर्ट 2283 (TCP) का इस्तेमाल किया जाता है के रूप में एक के माध्यम से भेजने (एक प्रॉक्सी की तरह).

    7. कब्जा है और लॉग clippboard करने के लिए %WINDOWS% undllx.sys

    8. कब्जा है और लॉग keystrokes (लेकिन यह भी कार्यक्रम के नाम करने के लिए) %WINDOWS%vxdload.लॉग इन करें

    9. प्रयास करने के लिए कनेक्ट करने के लिए एक ftp सर्वर पर अपलोड करें और एक है । eml फ़ाइल में शामिल है कि पासवर्ड और अन्य informations.

    Win32.Dumaru.Y@mm एक कीड़ा आता है कि में मेल द्वारा निम्न संदेश मिलता है:

    से: "Elene"

    विषय: महत्वपूर्ण जानकारी के लिए आप. तुरंत इसे पढ़ने के लिए !

    शरीर:

    हाय !

    यहाँ है, मेरी तस्वीर है कि आप के लिए कहा कल.

    अनुलग्नक: MYPHOTO.JPG है । EXE

    कीड़ा ही प्रतियां Windows सिस्टम फ़ोल्डर नाम के साथ L32X.EXE और VXD32V.EXE और स्टार्टअप फ़ोल्डर में नाम के साथ DLLXW.EXE कहते हैं, रजिस्ट्री कुंजी:

    HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunload32 = L32X.EXE

    भी यह करने के लिए जोड़ता खोल लाइन (में प्रणाली.INI पर Windows 95, 98 और मुझे, या रजिस्ट्री पर Windows NT, 2000 और XP):

    शैल = %SYSTEMDIR%vxd32.exe

    एक keylogger और क्लिपबोर्ड की निगरानी भी स्थापित किया गया है, और कीड़ा के लिए सुनता आदेश पर बंदरगाह 2283 है और एक FTP सर्वर पर पोर्ट 10000 है ।

    मास-मेलिंग घटक एकत्र करता है से ई-मेल पते के साथ फाइल एक्सटेंशनों .एचटीएम, .wab, .html, .dbx, .tbb, .abd भेजता है और ई-मेल का उपयोग कर अपने स्वयं के भेजने इंजन है ।

  • Dumaru Removal Tool is a lightweight application that can completely erase the Win32.Dumaru worm in all its variants.

    Win32.Dumaru.A@mm arrives as a fake email from Microsoft:

    From: "Microsoft" [email protected]

    Subject: Use this patch immediately !

    Body:

    Dear friend , use this Internet Explorer patch now!

    There are dangerous virus in the Internet now!

    More than 500.000 already infected!

    Attachment: patch.exe

    When executed, the virus will do the following:

    Copy itself as:

    %SYSTEM%load32.exe

    %WINDOWS%dllreg.exe

    %SYSTEM%vxdmgr32.exe

    Drops and executes a backdoor component

    %WINDOWS%windrv.exe (8192 bytes)

    which connects to a IRC server and joins a password protected channel, sends a login notice and waits for the author to issue commands.

    Creates the value

    "load32"="%SYSTEM%load32.exe"

    in the registry key

    [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]

    On Windows 9x/Me systems, it does the following:

    uses RegisterServiceProcess to hide its presence;

    modifies system.ini by adding the entry in the [Boot] section:

    shell=explorer.exe %System%vxdmgr32.exe

    modifies win.ini by adding the following entry in the [Windows] section:

    run=C:WINDOWSdllreg.exe

    Harvests e-mail addresses from files matching

    *.htm

    *.wab

    *.html

    *.dbx

    *.tbb

    *.abd

    and stores them in %WINDOWS%winload.log file.

    It uses it's own SMTP engine and sends itself to the e-mails harvested in winload.log file (see above for the infected e-mail format).

    It searches for *.exe files belonging to several antivirus/security products and attempts to overwrite them with copies of the virus.

    Win32.Dumaru.B/C@mm is a mass mailer that has backdoor abilities (listens on TCP ports 1001, 2283, 10000) and also comes with a keylogger.

    Attempts to terminate processes belonging to several security and antivirus programs.

    On NTFS partitions, it may overwrite .exe files with copies of the virus.

    It spreads using this format:

    From:

    [email protected]

    Subject:

    Use this patch immediately !

    Body:

    Dear friend , use this Internet Explorer patch now!

    There are dangerous virus in the Internet now!

    More than 500.000 already infected!

    Attachment:

    patch.exe

    Once run, the virus does the following:

    1. Creates the aforementioned files and registry keys/entries.

    2. Attempts to terminate processes:

    ZAUINST.EXE

    ZAPRO.EXE

    ZONEALARM.EXE

    ZATUTOR.EXE

    MINILOG.EXE

    VSMON.EXE

    LOCKDOWN.EXE

    ANTS.EXE

    FAST.EXE

    GUARD.EXE

    TC.EXE

    SPYXX.EXE

    PVIEW95.EXE

    REGEDIT.EXE

    DRWATSON.EXE

    SYSEDIT.EXE

    NSCHED32.EXE

    MOOLIVE.EXE

    TCA.EXE

    TCM.EXE

    TDS-3.EXE

    SS3EDIT.EXE

    UPDATE.EXE

    ATCON.EXE

    ATUPDATER.EXE

    ATWATCH.EXE W

    GFE95.EXE

    POPROXY.EXE

    NPROTECT.EXE

    VSSTAT.EXE

    VSHWIN32.EXE

    NDD32.EXE

    MCAGENT.EXE

    MCUPDATE.EXE

    WATCHDOG.EXE

    TAUMON.EXE

    IAMAPP.EXE

    IAMSERV.EXE

    LOCKDOWN2000.EXE

    SPHINX.EXE

    WEBSCANX.EXE

    VSECOMR.EXE

    PCCIOMON.EXE

    ICLOAD95.EXE

    ICMON.EXE

    ICSUPP95.EXE

    ICLOADNT.EXE

    ICSUPPNT.EXE

    FRW.EXE

    BLACKICE.EXE

    BLACKD.EXE

    WRCTRL.EXE

    WRADMIN.EXE

    WRCTRL.EXE

    PCFWALLICON.EXE

    APLICA32.EXE

    CFIADMIN.EXE

    CFIAUDIT.EXE

    CFINET32.EXE

    CFINET.EXE

    TDS2-98.EXE

    TDS2-NT.EXE

    SAFEWEB.EXE

    NVARCH16.EXE

    MSSMMC32.EXE

    PERSFW.EXE

    VSMAIN.EXE

    LUALL.EXE

    LUCOMSERVER.EXE

    AVSYNMGR.EXE

    DEFWATCH.EXE

    RTVSCN95.EXE

    VPC42.EXE

    VPTRAY.EXE

    PAVPROXY.EXE

    APVXDWIN.EXE

    AGENTSVR.EXE

    NETSTAT.EXE

    MGUI.EXE

    MSCONFIG.EXE

    NMAIN.EXE

    NISUM.EXE

    NISSERV.EXE

    3. On Windows 9x/Me systems, alters win.ini and system.ini in order to run at startup.

    [windows]

    run=%WINDOWS%dllreg.exe

    [boot]

    shell=explorer.exe %SYSTEM%vxdmgr32.exe

    4. Harvests e-mail addresses by searching inside:

    .htm

    .wab

    .html

    .dbx

    .tbb

    .abd

    and attempts to send itself using the e-mail format described above, using it's own SMTP engine and the default SMTP address.

    5. Attempts to infect .exe files on NTFS partitions, but due to a bug in the search, it will only infect .exe file on the root of drives.

    6. Connects to an IRC server, and joins a channel, listens on ports 1001, 10000 (TCP) for commands from an attacker. Also, port 2283 (TCP) is used as a send through (like a proxy).

    7. Captures and logs the clippboard to %WINDOWS% undllx.sys

    8. Captures and logs keystrokes (but also program name) to %WINDOWS%vxdload.log

    9. Attempts to connect to a ftp server and upload a .eml file that contains passwords and other informations.

    Win32.Dumaru.Y@mm is a worm that comes by mail in the following message:

    From: "Elene"

    Subject: Important information for you. Read it immediately !

    Body:

    Hi !

    Here is my photo, that you asked for yesterday.

    Attachment: MYPHOTO.JPG .EXE

    The worm copies itself to Windows System folder with names L32X.EXE and VXD32V.EXE and in the StartUp folder with the name DLLXW.EXE, adds the registry key:

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunload32 = L32X.EXE

    Also it adds to the shell line (in SYSTEM.INI on Windows 95, 98 and Me, or in the registry on Windows NT, 2000 and XP):

    Shell = %SYSTEMDIR%vxd32.exe

    A keylogger and clipboard monitor is also installed, and the worm listens for commands on port 2283 and opens a FTP server on port 10000.

    The mass-mailing component collects e-mail addresses from files with extensions .htm, .wab, .html, .dbx, .tbb, .abd and sends e-mails using its own sending engine.