 |
|||||||||
|
|||||||||
| SYMBOLIC Antivirus Security Division |
| 24 Gennaio 2004 |
| NOME: Dumaru.Y |
| ALIAS: W32.Dumaru.Y@mm |
Descrizione breve Dumaru è una famiglia di mass-mailing worms che utilizzano varie backdoor e vari metodi per impossessarsi di dati dal pc infetto Disinfezione Dumaru-Y può essere rimosso manunalmente eseguendo i seguenti passi 1, Eliminare la chiave del registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load32 2, Cancellare i file: %SysDir%\l32x.exe %SysDir%\vxd32v.exe dllxw.exe from the Starup Directory 3, Ripristinare 'system.ini' con [Boot] 4, Riavviare il computer Descrizione dettagliata Dopo che il Dumaru.Y viene eseguito si copia in alcune cartelle del computer: - 'l32x.exe' nella cartella di sistema di windows e la corrisponde chiave nel registro HKLM\Software\Microsoft\Windows\CurrentVersion\Run\load32 - 'dllxw.exe' viene copiata nella cartella di Startup dell'utente corrente. - 'vxd32v.exe' nella directory di sistema e viene aggiunto al file system.ini [Boot] Diffusione Email Dumaru.Y utilizza un suo SMTP per inviare email. Il suo motore SMTP interno esegue una query DNS sul dominio di destinazione in modo da non dipendere dalle impostazioni del computer infettato. Per collezionare indirizzi email, il worm ricerca ricorsivamente nelle cartelle del computer e cerca nei file che potrebbero contenere email: '.htm' Dumaru.Y invia i messaggi infetti agli indirizzi mail con questa forma: From: "Elene" <F*CKENSUICIDE@HOTMAIL.COM> Body: Attachment: myphoto.zip
Payloads Dumaru.Y contiene, come payload, diverse backdoor e componenti per impossessarsi di dati dell'utente. Backdoors Dumaru.Y installa un server FTP in ascolto sulla porta TCP 10000 che permette un accesso FTP senza restrizioni a tutti i file sulla macchina infetta. Sulla porta 2283 un TCP forawrding proxy è in ascolto e può essere usato da malintenzionati per iniziare connessioni attraverso il computer infetto. Recupero dei dati Dumaru.Y - come le sue varianti precedenti - è stato progettato con la capacità di impossessarsi di alcuni dati che risiedono sulla macchina infetta. - i dati in clipboard clipboard data - dati protetti Protected Storage Data - credenziali e key log degli utenti che accedono a www.e-gold.com Gli indirizzi mail raccolti vengono inviati verso un indirizzo email predefinito Rilevazione La rilevazione di Dumaru.Y e' disponibile dal 24 Gennaio 2004 con il seguente aggiornamento di F-Secure Anti-Virus Version=2004-01-24_01 Descrizione: Gergely Erdelyi and Katrin Tocheva, 24 Gennaio 2004 Dettagli Tecnici:Gergely Erdelyi, 24 Gennaio 2004 F-Secure Corporation |
