Dumaru.BZ es un destructivo troyano/backdoor, reportado el 17 de Marzo del 2006 que se propaga través de la web, haciendo uso del puerto TCP 80, alternativamente el 8080 o de puertos TCP aleatorios.

Roba contraseñas del sistema, captura teclas digitadas. 

Modifica el archivo HOSTS para impedir el acceso a determinados sitios web relacionados a seguridad. 

Su Backdoor ejecutar además una rutina de envío masivo de mensajes de correo, además de sus comandos remotos.

Infecta a Windows NT/2000/XP y Server 2003 está desarrollado en Visual C++ con una extensión de 31 KB para y 6KB para su componente. 

Al activarse se copia a la carpeta %System% como Winldra.exe y libera además los siguientes archivos en las rutas:

• Windows\dvpd.dll
• Windows\sendlogs_dat
• Windows\dvp.log
• Windows\prntk.log
• Windows\prntc.log
• Windows\netdx.dat
• Temp\fe43e701.htm 

para ejecutarse la próxima que ser re-inicie el sistema crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"load32" = "%System%\winldra.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

para instalar un Backdoor de control remoto crea esta llave:

[HKEY_CURRENT_USER\Software\SARSSocksPort
[número_aleatorio_de_puerto_en_hexadecimal] 

para cambiar la configuración del Internet Explorer y Windows Explorer crea las siguientes llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"AllowWindowReuse" = "0"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete]
"Append Completion" = "yes"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete]
"AutoSuggest" = "yes"

Al siguiente inicio del equipo el gusano inserta su componente dvpd.dll en el Windows Explorer y activará sus funciones cuando se ejecute el Internet Explorer. 

La información capturada por su Keylogger será almacenada en el prntk.log previamente copiado al directorio Windows, y luego será enviado a una dirección web cifrada configurada como un formato web para el intruso o atacante. 

Después que esta información haya sido enviada el Troyano generará la siguiente llave:

[HKEY_CURRENT_USER\Software\SARS]
"Mailsended" = "[número_de_mensajes_enviados_por_el_backdoor]" 

Actuando como Backdoor abre y se conecta a un puerto TCP aleatorio y permitirá que un intruso pueda ejecutar comandos y hasta tomar control del sistema afectado, en forma remota. Asimismo robará la siguiente información:

• Nombres de cuentas y contraseñas de correo POP3
• Contraseñas de Far Manager
• Nombres de usuarios y contraseñas FTP
• Contraseñas de Bat
• Contraseñas de Total Commander FTP
• Relación de ID de WebMoney ID 

la misma que enviará a un dominio cifrado. 

El Backdoor también puede ejecutar una rutina de envío masivo de mensajes de correo. 

luego modificando el archivo HOSTS impide el acceso a cualquiera de los siguientes sitios web:

• 127.0.0.1 www.trendmicro.com
• 127.0.0.1 trendmicro.com
• 127.0.0.1 rads.mcafee.com
• 127.0.0.1 customer.symantec.com
• 127.0.0.1 liveupdate.symantec.com
• 127.0.0.1 us.mcafee.com
• 127.0.0.1 updates.symantec.com
• 127.0.0.1 update.symantec.com
• 127.0.0.1 www.nai.com
• 127.0.0.1 nai.com
• 127.0.0.1 secure.nai.com
• 127.0.0.1 dispatch.mcafee.com
• 127.0.0.1 download.mcafee.com
• 127.0.0.1 www.my-etrust.com
• 127.0.0.1 my-etrust.com
• 127.0.0.1 mast.mcafee.com
• 127.0.0.1 ca.com
• 127.0.0.1 www.ca.com
• 127.0.0.1 networkassociates.com
• 127.0.0.1 www.networkassociates.com
• 127.0.0.1 avp.com
• 127.0.0.1 www.kaspersky.com
• 127.0.0.1 www.avp.com
• 127.0.0.1 kaspersky.com
• 127.0.0.1 www.f-secure.com
• 127.0.0.1 f-secure.com
• 127.0.0.1 viruslist.com
• 127.0.0.1 www.viruslist.com
• 127.0.0.1 liveupdate.symantecliveupdate.com
• 127.0.0.1 mcafee.com
• 127.0.0.1 www.mcafee.com
• 127.0.0.1 sophos.com
• 127.0.0.1 www.sophos.com
• 127.0.0.1 symantec.com
• 127.0.0.1 securityresponse.symantec.com
• 127.0.0.1 us.mcafee.com/root/
• 127.0.0.1 www.symantec.com