• Dumaru清除工具是一个轻型应用程序,可以完全删除该Win32.Dumaru虫在其所有的变体。

    Win32.Dumaru.A@mm 达作为一个虚假的电子邮件从Microsoft:

    从:"微软"[email protected]

    主题:使用这片马上!

    身体:

    亲爱的朋友,使用这Internet Explorer修补现在!

    有危险的病毒在互联网上现在!

    多500.000已经感染了!

    附件:patch.exe

    在执行时,病毒就会做到以下几点:

    复制本身为:

    %SYSTEM%load32.exe

    %WINDOWS%dllreg.exe

    %SYSTEM%vxdmgr32.exe

    下降并执行一个后门组件

    %WINDOWS%windrv.exe (8192字节)

    它连接到因诺琴蒂研究中心的服务器并加入一个密码保护的渠道,发出一个登录通知,并等待提交人发出的命令。

    创造的价值

    "load32"="%SYSTEM%load32.exe"

    在注册表中的关键

    [HKLMSoftwareMicrosoftWindowsCurrentversionrun]

    在Windows9x/Me系统,它并如下:

    使用RegisterServiceProcess隐藏其存在;

    修改系统。ini通过加入条[启动]的部分:

    shell=explorer.exe %System%vxdmgr32.exe

    修改获胜。ini通过添加以下条[窗口]部分:

    run=C:WINDOWSdllreg.exe

    收获的电子邮件地址,从匹配的文件

    *.htm

    *.wab

    *.html

    *.dbx

    *.tbb

    *.阿卜杜勒*

    并将它们存在%WINDOWS%winload的。日志的文件。

    它使用它自己的SMTP引擎和发送本身的电子邮件收获winload的。日志的文件(见上文对受感染的电子邮件格式)。

    它搜索*.exe文件属于几个病毒/安全的产品,并试图复盖它们的副本,该病毒。

    Win32.Dumaru.B/C@mm 是批量邮寄者具有后门能力(听上TCP口1001,2283,10000),还附带了一个键盘记录。

    试图终止的进程属于一些安全和防病毒程序。

    在大损失的分区中,它可以复盖。exe文件的副本,该病毒。

    它传播采用这个格式:

    自:

    [email protected]

    主题:

    使用这个补丁,马上!

    身体:

    亲爱的朋友,使用这Internet Explorer修补现在!

    有危险的病毒在互联网上现在!

    多500.000已经感染了!

    附件:

    patch.exe

    一旦运行,病毒是否如下:

    1. 创造了上述文件和注册表/项目。

    2. 试图终止的过程:

    ZAUINST.EXE

    ZAPRO.EXE

    ZONEALARM.EXE

    ZATUTOR.EXE

    MINILOG.EXE

    VSMON.EXE

    LOCKDOWN.EXE

    ANTS.EXE

    FAST.EXE

    GUARD.EXE

    TC.EXE

    SPYXX.EXE

    PVIEW95.EXE

    REGEDIT.EXE

    DRWATSON.EXE

    SYSEDIT.EXE

    NSCHED32.EXE

    MOOLIVE.EXE

    TCA.EXE

    TCM.EXE

    TDS-3.EXE

    SS3EDIT.EXE

    UPDATE.EXE

    ATCON.EXE

    ATUPDATER.EXE

    ATWATCH.EXE W

    GFE95.EXE

    POPROXY.EXE

    NPROTECT.EXE

    VSSTAT.EXE

    VSHWIN32.EXE

    NDD32.EXE

    MCAGENT.EXE

    MCUPDATE.EXE

    WATCHDOG.EXE

    TAUMON.EXE

    IAMAPP.EXE

    IAMSERV.EXE

    LOCKDOWN2000.EXE

    SPHINX.EXE

    WEBSCANX.EXE

    VSECOMR.EXE

    PCCIOMON.EXE

    ICLOAD95.EXE

    ICMON.EXE

    ICSUPP95.EXE

    ICLOADNT.EXE

    ICSUPPNT.EXE

    FRW.EXE

    BLACKICE.EXE

    BLACKD.EXE

    WRCTRL.EXE

    WRADMIN.EXE

    WRCTRL.EXE

    PCFWALLICON.EXE

    APLICA32.EXE

    CFIADMIN.EXE

    CFIAUDIT.EXE

    CFINET32.EXE

    CFINET.EXE

    TDS2-98.EXE

    TDS2-NT.EXE

    SAFEWEB.EXE

    NVARCH16.EXE

    MSSMMC32.EXE

    PERSFW.EXE

    VSMAIN.EXE

    LUALL.EXE

    LUCOMSERVER.EXE

    AVSYNMGR.EXE

    DEFWATCH.EXE

    RTVSCN95.EXE

    VPC42.EXE

    VPTRAY.EXE

    PAVPROXY.EXE

    APVXDWIN.EXE

    AGENTSVR.EXE

    NETSTAT.EXE

    MGUI.EXE

    MSCONFIG.EXE

    NMAIN.EXE

    NISUM.EXE

    NISSERV.EXE

    3. 在Windows9x/Me系统,改变了胜利。ini和系统。ini,以便在启动时运行。

    [窗口]

    run=%WINDOWS%dllreg.exe

    [启动]

    shell=explorer.exe %SYSTEM%vxdmgr32.exe

    4. 收电子邮件地址通过搜索内:

    中。htm

    中。wab

    中。html

    中。dbx

    中。tbb

    中。阿卜杜勒*

    以及试图发送本身使用电子邮件的格式上所述,使用它自己的SMTP引擎和默认SMTP地址。

    5. 试图感染的。exe文件上的损失的分区,但由于在一个错误的搜索,它只会感染。文件上的根源驱动器。

    6. 连接到因诺琴蒂研究中心的服务器,并加入一道,听上口1001,10000(TCP)命令从一个攻击者。 此外,口2283(TCP)用作通过发送(像一个代理人)。

    7. 捕获和记录clippboard到%WINDOWS%undllx.sys

    8. 捕获和记录按键(也是节目的名称)以%WINDOWS%vxdload的。日志

    9. 尝试连接到一个ftp服务器上传的一个。eml文件,该文件包含的密码和其他信息。

    Win32.Dumaru.Y@mm 是一种蠕虫,来通过邮件在以下信息:

    自:"忆念美"

    主题:重要的信息给你。 读它。

    身体:

    嗨!

    这里是我的照片,那你问过的昨天。

    附件:MYPHOTO.JPG 中。EXE

    蜗副本本身为Windows系统上的文件夹,名字L32X.EXE 和VXD32V.EXE 并启动文件夹中的名称DLLXW.EXE,增加了登记册的关键:

    HKEY_LOCAL_MACHINESoftwareMicrosoftwindowscurrentversionrunload32=L32X.EXE

    此外,它增加了壳线(在系统。INI在Windows95、98和我,或在注册于Windows NT,2000和XP):

    壳=%SYSTEMDIR%vxd32.exe

    一个键盘记录和剪贴板的监视器也被安装,和蠕虫的监听命令港口和2283打开了一个FTP服务器的端口10000次。

    质量邮件收集的电子邮件地址文件的扩展。htm,用。wab的。html.dbx的。tbb,用。阿卜杜和发送电子邮件使用其自己的发动机。

  • Dumaru हटाने के उपकरण है कि एक हल्के आवेदन कर सकते हैं पूरी तरह से मिटा Win32.Dumaru कीड़ा अपने सभी वेरिएंट में.

    Win32.Dumaru.A@mm आता है के रूप में एक नकली ईमेल Microsoft से:

    से: "माइक्रोसॉफ्ट" [email protected]

    विषय: इस पैच का उपयोग तुरंत !

    शरीर:

    प्रिय दोस्त , इस का उपयोग करें इंटरनेट एक्सप्लोरर पैच अब!

    वहाँ रहे हैं, खतरनाक वायरस अब इंटरनेट में!

    अधिक से अधिक 500.000 पहले से ही संक्रमित!

    अनुलग्नक: patch.exe

    जब मार डाला, वायरस निम्न कार्य करना होगा:

    प्रतिलिपि के रूप में ही:

    %SYSTEM%load32.exe

    %WINDOWS%dllreg.exe

    %SYSTEM%vxdmgr32.exe

    बूंदों और निष्पादित एक पिछले दरवाजे घटक

    %WINDOWS%windrv.exe (8192 बाइट्स)

    से जोड़ता है, जो करने के लिए एक आईआरसी सर्वर और एक पासवर्ड से सुरक्षित चैनल को भेजता है, एक लॉगिन सूचना और इंतजार कर रहा है के लेखक के लिए करने के लिए आदेश जारी.

    बनाता है मूल्य

    "load32"="%SYSTEM%load32.exe"

    रजिस्ट्री में कुंजी

    [HKLMSoftwareMicrosoftWindowsCurrentversionrun]

    पर Windows 9x/मेरे सिस्टम पर, यह निम्न है:

    का उपयोग करता है RegisterServiceProcess छिपाने के लिए अपनी उपस्थिति;

    संशोधित प्रणाली है । ini जोड़ने के द्वारा में प्रवेश के [बूट] अनुभाग:

    shell=explorer.exe %System%vxdmgr32.exe

    संशोधित करता है जीतने के लिए.ini जोड़ने के द्वारा निम्न प्रविष्टि में [Windows] अनुभाग:

    run=C:WINDOWSdllreg.exe

    फसल ई-मेल पते से मिलान फ़ाइलें

    *.htm

    *.wab

    *.html

    *.dbx

    *.tbb

    *.अब्द

    और दुकानों में उन्हें %WINDOWS%winload.लॉग फ़ाइल है ।

    यह का उपयोग करता है यह अपने SMTP इंजन और खुद को भेजता है करने के लिए ई-मेल में काटा winload.लॉग फ़ाइल (के लिए ऊपर देखें संक्रमित ई-मेल प्रारूप).

    यह खोजों के लिए *.exe फ़ाइलों से संबंधित कई एंटीवायरस/सुरक्षा उत्पादों और प्रयास करने के लिए उन्हें अधिलेखित की प्रतियों के साथ वायरस.

    Win32.Dumaru.B/C@mm एक मास मेलर है कि पिछले दरवाजे क्षमताओं (पर सुनता TCP पोर्ट 1001, 2283, 10000) और भी साथ आता है एक keylogger है.

    प्रयास करने के लिए प्रक्रियाओं को समाप्त करने के लिए संबंधित कई सुरक्षा और एंटीवायरस प्रोग्राम है.

    NTFS विभाजन पर, यह ऊपर लिख सकता है .exe फ़ाइलों की प्रतियों के साथ वायरस.

    यह फैलता है और इस प्रारूप का उपयोग कर:

    से:

    [email protected]

    विषय:

    इस पैच का उपयोग तुरंत !

    शरीर:

    प्रिय दोस्त , इस का उपयोग करें इंटरनेट एक्सप्लोरर पैच अब!

    वहाँ रहे हैं, खतरनाक वायरस अब इंटरनेट में!

    अधिक से अधिक 500.000 पहले से ही संक्रमित!

    अनुलग्नक:

    patch.exe

    एक बार चलाने के लिए, वायरस निम्न है:

    1. बनाता है ऊपर उल्लिखित फ़ाइलें और रजिस्ट्री कुंजी/प्रविष्टियों.

    2. प्रयास करने के लिए प्रक्रियाओं को समाप्त:

    ZAUINST.EXE

    ZAPRO.EXE

    ZONEALARM.EXE

    ZATUTOR.EXE

    MINILOG.EXE

    VSMON.EXE

    LOCKDOWN.EXE

    ANTS.EXE

    FAST.EXE

    GUARD.EXE

    TC.EXE

    SPYXX.EXE

    PVIEW95.EXE

    REGEDIT.EXE

    DRWATSON.EXE

    SYSEDIT.EXE

    NSCHED32.EXE

    MOOLIVE.EXE

    TCA.EXE

    TCM.EXE

    TDS-3.EXE

    SS3EDIT.EXE

    UPDATE.EXE

    ATCON.EXE

    ATUPDATER.EXE

    ATWATCH.EXE डब्ल्यू

    GFE95.EXE

    POPROXY.EXE

    NPROTECT.EXE

    VSSTAT.EXE

    VSHWIN32.EXE

    NDD32.EXE

    MCAGENT.EXE

    MCUPDATE.EXE

    WATCHDOG.EXE

    TAUMON.EXE

    IAMAPP.EXE

    IAMSERV.EXE

    LOCKDOWN2000.EXE

    SPHINX.EXE

    WEBSCANX.EXE

    VSECOMR.EXE

    PCCIOMON.EXE

    ICLOAD95.EXE

    ICMON.EXE

    ICSUPP95.EXE

    ICLOADNT.EXE

    ICSUPPNT.EXE

    FRW.EXE

    BLACKICE.EXE

    BLACKD.EXE

    WRCTRL.EXE

    WRADMIN.EXE

    WRCTRL.EXE

    PCFWALLICON.EXE

    APLICA32.EXE

    CFIADMIN.EXE

    CFIAUDIT.EXE

    CFINET32.EXE

    CFINET.EXE

    TDS2-98.EXE

    TDS2-NT.EXE

    SAFEWEB.EXE

    NVARCH16.EXE

    MSSMMC32.EXE

    PERSFW.EXE

    VSMAIN.EXE

    LUALL.EXE

    LUCOMSERVER.EXE

    AVSYNMGR.EXE

    DEFWATCH.EXE

    RTVSCN95.EXE

    VPC42.EXE

    VPTRAY.EXE

    PAVPROXY.EXE

    APVXDWIN.EXE

    AGENTSVR.EXE

    NETSTAT.EXE

    MGUI.EXE

    MSCONFIG.EXE

    NMAIN.EXE

    NISUM.EXE

    NISSERV.EXE

    3. पर Windows 9x/Me सिस्टम, बदल जीतने के लिए । ini और system.ini क्रम में करने के लिए स्टार्टअप पर चलाने.