|
نام : Dumara
نام مستعار : W32.Dumaru@mm
این کرم در تاریخ نوزدهم ماه August سال 2003 شناسایی شد.
جزییات فنی :
این کرم با یک نسخه از UPX فشرده شده و حجم آن د رحالت غیر فشرده 20480 بایت می باشد . وقتی برای اولین بار کرم اجرا می شود ، خود را در محل هایی از سیستم ، از جمله درون شاخه سیستم و با نام LOAD32.exe ذخیره کند و شاخه زیر را در رجیستری اضافه می کند :
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load32"
کپی دیگر از کرم در شاخه ویندوز قرار می گیرد و به نام Dllreg.exe است و در فایل Win.ini نیز تغییری همانند عبارت زیر را می دهد : [windows] Run=dllreg.exe
کپی سوم در شاخه سیستم و با نام Vxdmgr32.exe ذخیره می شود که در فایل System.ini تغییر زیر را اعمال می کند: [Boot] Shell=explorer vxdmgr32.exe
گسترش از طریق ایمیل :
Dumara یک SMTP پیش فرض برای خود دارد که برای ارسال ایمیل هایی با ضمیمه های آلوده به کرم از آن استفاده می کند . کرم در سیستم قربانی و در فایلهایی که پسوند آنها در زیر نشان داده شده است ، به دنبال آدرس های ایمیل گشته و خود را به آن آدرس ها ارسال می کند : .htm .wab .html .dbx .tbb .abd
Dumara از سرویس SMTP استفاده می کند . متن پیغام میل آلوده در آن شکل زیر است : From: "Microsoft" <security@microsoft.com> Subject: Use this patch immediately ! Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected! Attachment: patch.exe
کرم آدرس ایمیل های را که گرد آوری کرده است در فایلی به نام Winload.log و در شاخه ویندوز ذخیره می کند .
| 
:جستجو
