I-Worm.Dumaru.c

病毒名称:

I-Worm.Dumaru.c

类别： 蠕虫病毒

病毒资料：

破坏方法：

一个用vc编写的蠕虫病毒

病毒形为：

该病毒运行后将自己复制到％system32％目录下，文件名为：

load32.exe

并在注册表

Software\Microsoft\Windows\CurrentVersion\Run

中加入自己的键值：load32

病毒通过注册表

Software\Microsoft\Windows\CurrentVersion

\EXPlorer\Shell Folders\Startup

查到当前系统的启动项目录，并将自己复制到该目录。

病毒还将修改win.ini及system.ini文件。以便自己随系统启动而启动。

病毒结束以下进程：

ZAUINST.EXE.ZAPRO.EXE.ZONEALARM.EXE.

ZATUTOR.EXE.MINILOG.EXE.VSMON.EXE

LOCKDOWN.EXE.ANTS.EXE.FAST.EXE.

GUARD.EXE.TC.EXE.

SPYXX.EXE.PVIEW95.EXE

REGEDIT.EXE.DRWATSON.EXE.

SYSEDIT.EXE.NSCHED32.EXE.

MOOLIVE.EXE.TCA.EXE

TCM.EXE.TDS-.EXE.SS3EDIT.EXE.UPDATE.EXE.

ATCON.EXE.ATUPDATER.EXE.ATWATCH.EXE

WGFE95.EXE.POPROXY.EXE.NPROTECT.EXE.

VSSTAT.EXE.VSHWIN32.EXE.NDD32.EXE

MCAGENT.EXE.MCUPDATE.EXE.

WATCHDOG.EXE.TAUMON.EXE.

IAMAPP.EXE.IAMSERV.EXE

LOCKDOWN2000.EXE.SPHINX.EXE.

WEBSCANX.EXE.VSECOMR.EXE.PCCIOMON.EXE.

ICLOAD95.EXE ICMON.EXE.ICSUPP95.EXE.

ICLOADNT.EXE.ICSUPPNT.EXE.

FRW.EXE.BLACKICE.EXE.BLACKD.EXE

WRCTRL.EXE.WRADMIN.EXE.WRCTRL.EXE.

PCFWALLICON.EXE.APLICA32.EXE.

CFIADMIN.EXE CFIAUDIT.EXE.CFINET32.EXE.

CFINET.EXE.TDS2-98.EXE.TDS2-NT.EXE.

SAFEWEB.EXE.NVARCH16.EXE

MSSMMC32.EXE.PERSFW.EXE.VSMAIN.EXE.

LUALL.EXE.LUCOMSERVER.EXE.AVSYNMGR.EXE

DEFWATCH.EXE.RTVSCN95.EXE......

木马后门：

病毒启动两个后门线程。它们分别监听10000及10001端口可以执行一些客户端传来的控制命令。

病毒还将放出一些dll文件，这些文件负责进行键盘击键监听，病毒将收集用户密码信息及粘贴板数据。

病毒把webmemory 的密码文件，及一些用户系统信息（密码，粘贴板）发送到一个指定的信箱。

邮件传播：

病毒搜索.htm,.wab,.Html,.dbx,.tbb,.abd文件从中获取Email地址。并利用这些地址进行邮件传播。

邮件标题：

Use this patch immediately !

邮件标题：

Dear friend , use this Internet Explorer patch now!

There are dangerous virus in the Internet now!

More than 500.000 already infected!

附件名为：

patch.exe

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2003-12-15