Outil de suppression de Dumaru Téléchargement, téléchargement de Outil de suppression de Dumaru sur téléchargement de logiciel

L'outil de suppression de Dumaru est une application légère qui peut effacer complètement le ver Win32.Dumaru dans toutes ses variantes. win32.dumaru.a@mm arrive comme un faux email de Microsoft: De: "Microsoft" Security@microsoft.com Objet: Utilisez ce patch immédiatement! Corps: Cher ami, utilisez ce correctif Internet Explorer maintenant! Il y a un virus dangereux dans Internet maintenant! Plus de 500.000 déjà infectés! Pièce jointe: patch.exe Lorsqu'il est exécuté, le virus fera ce qui suit: Copier comme: % System% \ load32.exe % Windows% \ dllreg.exe % Système% \ vxdmgr32.exe Gouttes et exécute une composante porte d'arrière % Windows% \ windrv.exe (8192 octets) qui se connecte à un serveur IRC et rejoint un canal protégé par mot de passe, envoie un avis de connexion et attend l'auteur de publier des commandes. Crée la valeur "Load32" = "% System% \ load32.exe" Dans la clé de registre Sous Windows 9x / Me Systems, ce qui suit: utilise registerServiceProcess pour cacher sa présence; Modifie System.ini en ajoutant l'entrée dans la section : Shell = Explorer.exe% System% \ VXDMGR32.exe Modifie Win.ini en ajoutant l'entrée suivante dans la section : Run = c: \ windows \ dllreg.exe Récolte les adresses e-mail des fichiers correspondant * .htm * .wab * .html * .dbx * .tbb * .abd et les stocke dans% Windows% \ winload.log. Il utilise son propre moteur SMTP et se renvoie aux e-mails récoltés dans Winload.log Fichier (voir ci-dessus pour le format de courrier électronique infecté). Il cherche des fichiers * .exe appartenant à plusieurs produits antivirus / de sécurité et tente de les écraser avec des copies du virus. win32.dumaru.b/c@mm est un mailleur de masse qui possède des capacités de porte-backdoor (écoute les ports TCP 1001, 2283, 10000) et est également livré avec un keylogger. Tentatives de résiliation des processus appartenant à plusieurs programmes de sécurité et d'antivirus. Sur les partitions NTFS, il peut remplacer les fichiers .exe avec des copies du virus. Il se répand en utilisant ce format: À partir de: sécurité@microsoft.com Sujet: Utilisez ce patch immédiatement! Corps: Cher ami, utilisez ce correctif Internet Explorer maintenant! Il y a un virus dangereux dans Internet maintenant! Plus de 500.000 déjà infectés! Attachement: patch.exe Une fois exécuté, le virus effectue ce qui suit: 1. Crée les fichiers et les entrées de registre susmentionnés. 2. Tentatives de terminer les processus: Zauinst.exe Zapro.exe Zonealarm.exe Zatturer.exe Minilog.exe Vsmon.exe LOCKDOW.EXE Ants.exe Fast.exe Garde.exe Tc.exe Spyxx.exe Piew95.exe Regedit.exe Drwatson.exe SYSEDIT.EXE Nsched32.exe Moolive.exe Tca.exe Tcm.exe Tds-3.exe Ss3edit.exe Update.exe Atcon.exe Atupdater.exe Atwatch.exe w Gfe95.exe Poproxy.exe Nprotect.exe Vsstat.exe Vshwin32.exe Ndd32.exe Mcagent.exe Mcupdate.exe Watchdog.exe Taumon.exe Iamapp.exe Iamserv.exe LOCKDOW2000.EXE SPHINX.EXE Webscanx.exe Vsecomr.exe Pcciomon.exe Icload95.exe Icmon.exe Icsupp95.exe Icloadnt.exe Icsuppnt.exe Frw.exe Blackice.exe Blackd.exe Wrctrl.exe Wradimin.exe Wrctrl.exe Pcfwallicon.exe Aplica32.exe Cfiadmin.exe Cfiaudit.exe Cfinet32.exe Cfinet.exe Tds2-98.exe Tds2-nt.exe Safeweb.exe Nvarch16.exe Mssmmc32.exe Persfw.exe Vsmain.exe Luall.exe Lucomserver.exe Avsynmgr.exe DEFWATCH.EXE Rtvsn95.exe Vpc42.exe Vptray.exe Pavproxy.exe Apvxdwin.exe Agentsvr.exe Netstat.exe Mgui.exe Msconfig.exe Nmain.exe Nisum.exe Nisserv.exe 3. Sous Windows 9x / Me Systems, alterne Win.ini et System.ini afin d'exécuter au démarrage. Run =% Windows% \ dllreg.exe Shell = Explorer.exe% System% \ VXDMGR32.exe 4. Récolte les adresses e-mail en recherchant à l'intérieur: .htm .wab .html .dbx .tbb .abd et tente de vous envoyer en utilisant le format de messagerie décrit ci-dessus, en utilisant son propre moteur SMTP et l'adresse SMTP par défaut. 5. Tentatives d'infecter des fichiers .exe sur les partitions NTFS, mais en raison d'un bogue dans la recherche, il n'infectera que le fichier .exe sur la racine des lecteurs. 6. Connecte à un serveur IRC et joint un canal, écoute les ports 1001, 10000 (TCP) pour les commandes d'un attaquant. De plus, le port 2283 (TCP) est utilisé comme envoi (comme un proxy). 7. Capture et enregistre la clippboard à% Windows% \ Rundllx.sys 8. Captures et journaux cloux (mais aussi Nom du programme) à% Windows% \ vxdload.log 9. Tente de connexion à un serveur FTP et de télécharger un fichier .eml contenant des mots de passe et d'autres informations. win32.dumaru.y@mm est un ver qui vient par courrier dans le message suivant: De: "Elene" Objet: Informations importantes pour vous. Lisez-le immédiatement! Corps: Salut ! Voici ma photo que vous avez demandé hier. Pièce jointe: myPhoto.jpg .exe Le ver se copie du dossier système Windows avec des noms L32X.exe et VXD32V.exe et dans le dossier de démarrage avec le nom DllXW.exe, ajoute la clé de registre: HKEY_LOCAL_MACHINE \ LOGICIEL \ Microsoft \ Windows \ CurrentVersion \ Run \ Load32 = l32x.exe En outre, il ajoute à la ligne de coquille (dans System.ini sur Windows 95, 98 et moi, ou dans le registre sur Windows NT, 2000 et XP): Shell =% SystemDir% \ VXD32.exe Un moniteur de Keylogger et de presse-papiers est également installé et le ver écoute les commandes du port 2283 et ouvre un serveur FTP sur le port 10000. Le composant de messagerie collecte les adresses de messagerie à partir de fichiers avec des extensions .htm, .wab, .html, .dbx, .tbb, .abd et envoie des courriels à l'aide de son propre moteur d'envoi.

Outil de suppression de Dumaru Logiciels associés