آشنایی با ویروس Dumara
نام : Dumara
نام مستعار : W32.Dumaru@mm
این كرم در تاریخ نوزدهم ماه August سال 2003 شناسایی شد.
جزییات فنی :
این كرم با یك نسخه از UPX فشرده شده و حجم آن د رحالت غیر فشرده 20480 بایت می باشد . وقتی برای اولین بار كرم اجرا می شود ، خود را در محل هایی از سیستم ، از جمله درون شاخه سیستم و با نام LOAD32.exe ذخیره كند و شاخه زیر را در رجیستری اضافه می كند :
'HKLM/Software/Microsoft/Windows/CurrentVersion/Run/load32'
كپی دیگر از كرم در شاخه ویندوز قرار می گیرد و به نام Dllreg.exe است و در فایل Win.ini نیز تغییری همانند عبارت زیر را می دهد :
[windows] Run=dllreg.exe
كپی سوم در شاخه سیستم و با نام Vxdmgr32.exe ذخیره می شود كه در فایل System.ini تغییر زیر را اعمال می كند:
[Boot] Shell=explorer vxdmgr32.exe
گسترش از طریق ایمیل :
Dumara یك SMTP پیش فرض برای خود دارد كه برای ارسال ایمیل هایی با ضمیمه های آلوده به كرم از آن استفاده می كند . كرم در سیستم قربانی و در فایلهایی كه پسوند آنها در زیر نشان داده شده است ، به دنبال آدرس های ایمیل گشته و خود را به آن آدرس ها ارسال می كند :
.htm .wab .html .dbx .tbb .abd
Dumara از سرویس SMTP استفاده می كند . متن پیغام میل آلوده در آن شكل زیر است :
From: "Microsoft" كرم آدرس ایمیل های را كه گرد آوری كرده است در فایلی به نام Winload.log و در شاخه ویندوز ذخیره می كند .