W32/Dumaru@mm, I.worm.dumaru@mm

Dumaru es un gusano destructivo reportado el 19 de Agosto del 2003, de propagación masiva, a través de mensajes de correo con un archivo anexado de nombre patch.exe, que simula ser enviado por Microsoft con un parche para Internet Explorer. 

Emplea la técnica Companion y para infectar usa el almacenamiento denominado ADS Alternate Data Stream en las plataformas Windows 200 y XP.

Libera un troyano que captura las Claves de Acceso y las envía vía Correo al autor del gusano. Intenta infectar los archivos con extensión .EXE de todas las unidades de disco, trunca los archivos ejecutables de todos los sistemas operativos, excepto Windows 2000 y XP. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Está desarrollado y compilado en Visual C++, con una extensión de 9 KB y no se encuentra comprimido. Emplea la técnica Email spoofing, que disfraza la verdadera dirección del Remitente.

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todos los buzones contenidos en los archivos de las siguientes extensiones:

• HTM
• WAB
• HTML
• DBX
• TBB
• ABD

Las direcciones de correo extraídas de estos archivos serán almacenadas en la ruta %Windir%\winload.log. 

Al ejecutar el archivo anexado, el gusano se auto-copia al directorio %Windir% y la carpeta %System% con los siguientes nombres: 

• %Windir%\dllreg.exe
• %System%\load32.exe
• %System%\vxdmgr32.exe

Para activarse la próxima vez que se inicie el sistema crea las siguientes llaves de registro: 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"load32" = "%System%\load32.exe"

En los sistemas operativos basados en la tecnología NT genera las siguientes llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Shell" = "explorer.exe %System%\vxdmgr32.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] 
"run" = "%Windir%\dllreg.exe" 

El gusano modifica el archivo WIN.INI para activarse al reiniciarse en Windows 95/98:

WIN.INI
[windows]
run = %Windir%\dllreg.exe

Igualmente lo hace con el SYSTEM.INI:

SYSTEM.INI
[windows]
shell = explorer.exe %System%\vxdmgr32.exe

Con el objeto de evitar auto-ejecutarse en memoria, en forma repetida, el gusano crea un indicador similar a un Mutex, de nombre program12345.  

Al siguiente re-inicio el gusano libera y ejecuta el troyano/backdoor PWS-Narod, el cual es copiado al directorio %Windir% con el nombre de windrv.exe, el cual al ser activado procederá a capturar las Claves de Acceso del sistema, las mismas que serán enviadas vía mensajes de correo a una dirección cifrada del creador.

El proceso de infección de este gusano es el siguiente: 

• Almacena el contenido del archivo infectado en el directorio raíz con la extensión  STR*.TMP.
• Luego lo sobre-escribe con su código viral.
• Almacena el contenido de los archivos STR*.TMP dentro del ADS del archivo infectado. Por ejemplo, si el nombre del archivo es Notepad.exe la ubicación del archivo original será Notepad.exe:str.
• Para terminar su accionar, el gusano borra los archivos temporales STR*.TMP.

Luego intentará infectar todos los archivos con extensión .EXE de las unidades de disco, pero a causa de un error de programación sólo afectará a los ejecutables del directorio raíz. 

Aleatoriamente los archivos ADS (Alternate Data Stream) infectados serán irrecuperables. los ejecutables de otras plataformas serán irrecuperables, pero debido a que únicamente Windows 2000 y XP soportan el ADS, todos los archivos .EXE de las otras plataformas serán definitivamente irrecuperables. 

Sus payloads son los siguientes: