Новый червь шпионит за клавиатурой зараженного компьютера

Новый червь семейства Dumaru, заражает все новых и новых пользователей. Он распространяется через интернет в виде файлов, прикрепленных к заражённым письмам. Червь содержит в себе функции бэкдора и троянской программы для кражи информации. Он является приложением Windows (PE EXE-файл), упакован утилитой FSG, размер упакованного файла около 17К, распакованного - около 43К. При инсталляции червь копирует себя с именами "l32x.exe" и "vxd32v.exe" в системный каталог Windows, а также в %starup% каталог, с именем "dllxw.exe". Регистрирует себя в ключе автозапуска системного реестра:

Вирусная энциклопедия VirusList.com, сообщает, что червь этого типа ищет файлы "*.HTM", "*.WAB", "*.HTML", "*.DBX", "*.TBB", "*.ABD" во всех каталогах на доступных локальных дисках, выделяет из них строки, являющиеся адресами электронной почты, и рассылает по этим адресами заражённые письма. Для этого червь создает ZIP-архив, во временном каталоге Windows c именем "zip.tmp", который в дальнейшем добавляется в качестве вложения к письмам. Червь также создаёт файл "winload.log" в каталоге Windows и записывает в него обнаруженные адреса электронной почты, по которым ведется рассылка заражённых писем. Зараженные письма имеют в качестве отправителя адрес

"Elene"

Тема письма:

Important information for you. Read it immediately !

Текст письма:

Hi !

Here is my photo, that you asked for yesterday.

Вложение:

myphoto.zip

Для рассылки писем червь использует прямое обращение к SMTP-серверу, подставляя в качестве обратного адреса адрес "[email protected]". Таким образом все сообщения почтовых сканеров об обнаруженных в письмах экземплярах червя будут направляться на этот адрес.

Кроме того, червь открывает на зараженном компьютере порт 10000 для приема команд, что позволяет удаленно управлять зараженной системой. Также червь обладает функцией клавиатурного шпиона и способен сохранять всю вводимую с клавиатуры информацию в отдельном файле.