سفارش تبلیغ
صبا ویژن
  آشنایی با ویروس Dumara - ارغوان
باروری دانش، تصور و فهم است . [امام علی علیه السلام]
منوی اصلی

[خـانه]

[  RSS  ]

[شناسنامه]

[پست الکترونیــک]

[ورود به بخش مدیریت]

درباره خودم
آشنایی با ویروس Dumara - ارغوان
امیر حسین یقموری
معمولی هستم عاشق هنر بخصوص موسیقی به کامپیوتر و برنامه نویسی هم علاقه مندم
لوگوی وبلاگ
آشنایی با ویروس Dumara - ارغوان
بایگانی
نوشته های قبلی
پاییز 1385
تابستان 1385
اوقات شرعی
لینک دوستان

عباس

لوگوی دوستان



جستجوی وبلاگ
 :جستجو

با سرعتی بی نظیر و باور نکردنی و اعجاب انگیز متن یادداشتهارا کاوایش کنید!

اشتراک در خبرنامه
 
وضعیت من در یاهو
یــــاهـو
کل بازدیدهای وبلاگ
39910
بازدیدهای امروز وبلاگ
19
پارسی بلاگ
www.parsiblog.com

نویسنده مطالب زیر:   امیر حسین یقموری  

عنوان متن آشنایی با ویروس Dumara شنبه 85 خرداد 13  ساعت 12:44 عصر

 

نام : Dumara

نام مستعار : W32.Dumaru@mm

 این کرم در تاریخ  نوزدهم ماه August سال 2003 شناسایی شد.

جزییات فنی :

این کرم با یک نسخه از   UPX فشرده شده و حجم آن د رحالت غیر فشرده 20480 بایت می باشد . وقتی برای اولین بار کرم اجرا می شود ، خود را در محل هایی از سیستم ، از جمله درون شاخه سیستم و با نام LOAD32.exe ذخیره کند و  شاخه زیر را در رجیستری اضافه می کند :

"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load32"

کپی دیگر از کرم در شاخه ویندوز قرار می گیرد و به نام Dllreg.exe است و در فایل Win.ini نیز تغییری همانند عبارت زیر را می دهد :

[windows] Run=dllreg.exe

کپی سوم در شاخه سیستم و با نام Vxdmgr32.exe ذخیره می شود که در فایل System.ini   تغییر زیر را اعمال می کند:

[Boot] Shell=explorer vxdmgr32.exe

 

گسترش از طریق ایمیل :

Dumara یک SMTP پیش فرض برای خود دارد که برای ارسال ایمیل هایی با ضمیمه های آلوده به کرم از آن استفاده می کند .  کرم در سیستم قربانی و در فایلهایی که پسوند آنها در زیر نشان داده شده است ، به دنبال آدرس های ایمیل گشته و خود را به آن آدرس ها ارسال می کند :

.htm .wab .html .dbx .tbb .abd

Dumara   از سرویس SMTP استفاده می کند .  متن پیغام میل آلوده در آن شکل زیر است :

From: "Microsoft" <security@microsoft.com> Subject: Use this patch immediately ! Dear friend , use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected! Attachment: patch.exe

 

کرم آدرس ایمیل های را که گرد آوری کرده است در فایلی به نام Winload.log و در شاخه ویندوز ذخیره می کند .


  نظرات شما  ( )

 

Powered by : پارسی بلاگ
Template Designed By : MehDJ