W32/Dumaru.Z@mm, I.worm.dumaru.Z@mm

Dumaru.Z es un gusano/backdoor "multi-hilos", variante de una gran familia de virus de ese nombre, reportado el 26 de Enero del 2004, de propagación masiva, a través de mensajes de correo con un archivo anexado de nombre myphoto.zip, que al desempaquetarse libera un archivo ejecutable de doble extensión.

Captura contraseñas, teclas digitadas, buzones de correo y las envía a una dirección cifrada perteneciente al autor del virus, a través de un puerto TCP y vía Chat.

El gusano emplea la técnica Email spoofing, que disfraza la verdadera dirección del Remitente.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado y compilado en Visual C++, con una extensión de 17 KB y comprimido en formato .ZIP

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todos los buzones contenidos en los archivos de las siguientes extensiones:

• HTM
• WAB
• HTML
• DBX
• TBB
• ABD

El mensaje tiene las siguientes características:

Al ejecutar el archivo anexado, este se desempaqueta en memoria y libera el ejecutable:

myphoto [56_espacios_en_blanco].jpg.exe. 

El archivo anexado se encuentra codificado en el formato Base64 y genera una copia del gusano en el directorio raíz C:\ con el nombre de 2.exe.

Luego el gusano se auto-copia a las siguientes rutas con los nombres: 

• %System%\L32x.exe
• %System%\Vxd32v.exe
• %Startup%\Dllxw.exe
• %Windir%\Temp\Zip.tmp

Para activarse la próxima vez que se inicie el equipo en los sistemas basados en Windows NT crea la siguiente llave re registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"load32" = "%System%\l32x.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Startup% es una variable que corresponde a C:\Windows\Menú Inicio\Programas\Inicio en Windows 95/98/Me/XP y a C:\Documents and Settings\carpeta_del_usuario\Menú Inicio\Programas\Inicio en Windows NT\2000\XP.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

El gusano modifica el archivo SYSTEM.INI para activarse al reiniciarse en Windows 95/98:

SYSTEM.INI
[boot]
shell = explorer.exe %System%\vxdmgr32.exe

Simultáneamente modifica la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Shell" = "explorer.exe %Windir%\vxd32v.exe"

Igualmente genera la llave:

[HKEY_LOCAL_MACHINE\Software\SARS] 

Al siguiente re-inicio el gusano borra el archivo 2.exe en el directorio raíz de C:\ el mismo que es una copia del gusano e intenta descargar de un sitio web cuya dirección se encuentra cifrada un archivo, el cual copiará a %System%\Nvidia32.exe que es un componente backdoor. 

Crea los siguientes archivos:

• %Windir%\Winload.log  (almacena las direcciones de correo extraídas del sistema).
• %Windir%\Vxdload.log  (almacena contraseñas e información digitada en el teclado).
• %Windir%\Rundllx.sys   (almacena información que es empastada en el "clipboard").

El gusano captura teclas digitadas con el título https://www.e-gold.com/srk.asp y la almacena en la ruta y archivo %Windir%\Vxdload.log.

El gusano toma control del " clipboard" y donde almacenará información capturada y la empastará en ese archivo en la ruta y archivo %Windir%\rundllx.sys.

En forma aleatoria el gusano envía la información capturada en los archivos Winload.log, Vxdload.log y Rundllx.sys a una dirección de correo complejamente cifrada dentro del código viral del gusano. 

El componente backdoor se conecta a través del puerto TCP 2283 (lnvstatus) y también usa el puerto IRC 1000 para el envío de la información al hacker.

Sus payloads son los siguientes: