آشنایی با ویروس Dumara

نام : Dumara

نام مستعار : W32.Dumaru@mm

این كرم در تاریخ  نوزدهم ماه August سال 2003 شناسایی شد.

جزییات فنی :

این كرم با یك نسخه از   UPX فشرده شده و حجم آن د رحالت غیر فشرده 20480 بایت می باشد . وقتی برای اولین بار كرم اجرا می شود ، خود را در محل هایی از سیستم ، از جمله درون شاخه سیستم و با نام LOAD32.exe ذخیره كند و  شاخه زیر را در رجیستری اضافه می كند :

'HKLM/Software/Microsoft/Windows/CurrentVersion/Run/load32'

كپی دیگر از كرم در شاخه ویندوز قرار می گیرد و به نام Dllreg.exe است و در فایل Win.ini نیز تغییری همانند عبارت زیر را می دهد :

[windows] Run=dllreg.exe

كپی سوم در شاخه سیستم و با نام Vxdmgr32.exe ذخیره می شود كه در فایل System.ini   تغییر زیر را اعمال می كند:

[Boot] Shell=explorer vxdmgr32.exe

گسترش از طریق ایمیل :

Dumara یك SMTP پیش فرض برای خود دارد كه برای ارسال ایمیل هایی با ضمیمه های آلوده به كرم از آن استفاده می كند .  كرم در سیستم قربانی و در فایلهایی كه پسوند آنها در زیر نشان داده شده است ، به دنبال آدرس های ایمیل گشته و خود را به آن آدرس ها ارسال می كند :

.htm .wab .html .dbx .tbb .abd

Dumara   از سرویس SMTP استفاده می كند .  متن پیغام میل آلوده در آن شكل زیر است :

From: "Microsoft" Subject: Use this patch immediately ! Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected! Attachment: patch.exe

كرم آدرس ایمیل های را كه گرد آوری كرده است در فایلی به نام Winload.log و در شاخه ویندوز ذخیره می كند .