|
W32/Dumaru.AH@mm, Mimail.U@mm, I.worm.dumaru.ah@mm
 |
Dumaru.AH es un gusano polimórfico residente en memoria reportado el 11 de Febrero del 2004, con un componente Backdoor que roba información de los sistemas. Se propaga a través de mensajes de correo con un archivo anexado de nombre Document.zip, que al desempaquetarse libera el archivo ejecutable de doble extensión myphoto.jpg[56_ espacios].exe. |
Actuando como "dropper" libera el archivo Nload.exe y descarga de un sitio web ruso un componente backdoor de nombre 1.exe el cual libera otro archivo.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 desarrollado en Visual C++, con una extensión de 40 KB en formato ZIP y de 27.5 para Nload.exe, el cual se encuentra comprimido con el utilitario FGS:
http://protools.anticrack.de/packers.htm
Emplea la técnica Email spoofing, que disfraza las verdaderas direcciones de los Remitentes
El mensaje tiene las siguientes características:
Remitente: [caracteres_aleatorios]@dominio_del_sistema_infectado
Asunto: Unknown
Contenido: If you cant see message text from: , read attached file.
Anexado: Document.zip
Posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía masivamente a todas las direcciones de correo del sistema infectado, contenidas en los archivos con las siguientes extensiones:
Las direcciones de correo son almacenados en el archivo 1111mail.log el cual
es generado por el gusano.
Al ejecutar el archivo anexado, se copia al directorio raíz como Nload.exe
y a la carpeta %System% con los siguientes
nombres:
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"load32" = "%System%\1111a.exe"
Para activarse en sistemas basados en Windows NT/2000/XP modifica el valor
Shell de la llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"explorer.exe" = "%System%\1111c.exe"
Para ejecutarse en Windows 95/98/me modifica el SYSTEM.INI:
SYSTEM.INI
[boot]
shell = explorer.exe C:\Windows\System\1111c.exe
Al siguiente re-inicio el archivo Nload.exe
crea %Windir%\Temp\photo.jpg y luego
activa el Explorer.exe que carga este archivo, el cual contiene el
grafico de una hermosa joven rubia.
El gusano verifica si el sistema está conectado a Internet y descarga el
archivo 1.EXE de un sitio ruso en la
web, el cual es el componente Backdoor.
Este archivo se ejecuta en memoria con el nombre de NVIDIA32.EXE.
Actuando como Backdoor, el virus roba nombres de acceso de usuarios y
sus contraseñas, además de las contraseñas MAPI
(Messaging
Application Programming Interface),
cuya información es almacenada en el archivo Tek32.dat.
De igual modo extrae la información almacenada en la pizarra de Windows y la almacena en el archivo 1111c.log.
El gusano ejecuta 2 acciones al abrir los puertos TCP
10000 y 2283 a través de los cuales enviará información o
recibirá instrucciones o comandos.
También enviará la información a un servidor FTP
que se encuentra fuertemente encriptado y cifrado dentro de su
código.
La información antes señalada y otras relacionadas al sistema, es enviada
al autor del virus a una dirección de correo que se encuentra cifrada
dentro del código viral.
Sus payloads
son los siguientes:
PER ANTIVIRUS® versión 8.5 con registro de virus al 11 de Febrero del 2004 detecta y elimina eficientemente este gusano/backdoor.
