W32/Dumaru-A

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Bitte wenden Sie sich an den technischen Support von Sophos.

W32/Dumaru-A ist ein Virus, der sich via E-Mail verbreitet und andere Programme mittels NTFS Alternate Data Stream infiziert.

Der Virus wird in einer E-Mail mit folgenden Merkmalen versendet:
Sender: "Microsoft" <security@microsoft.com>
Betreffzeile: Use this patch immediately !
Text: Dear friend, use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Attachment: patch.exe

Wenn das Attachment ausgeführt wird, kopiert sich W32/Dumaru-A als dllreg.exe in den Windows-Ordner und als load32.exe und vxdmgr32.exe in den Windows-Systemordner.

W32/Dumaru-A legt <Windows>\windrv.exe ab und startet die Datei. Windrv.exe ist ein Backdoor-Trojaner, der von Sophos Anti-Virus als Troj/Narod-B erkannt wird.

Der Virus erstellt den Registrierungswert load32 im Registrierungsschlüssel

\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

so dass die Virendatei <Windows system>\load32.exe beim Windows-Start aktiviert wird.

W32/Dumaru-A ändert außerdem die Systemdateien system.ini und win.ini. Der Shell-Eintrag im boot-Abschnitt in der System.ini wird so geändert, dass er den Verweis auf die Virendatei vxdmgr32 im Windows-Systemordner enthält.

Der Virus erstellt einen run-Eintrag im windows-Abschnitt der win.ini, um auf die Virendatei dllreg.exe im Windows-Ordner zu verweisen.

W32/Dumaru-A hat seine eigene SMTP-Engine und versucht, E-Mail-Adressen zu sammeln, indem er den Inhalt von Dateien mit den Erweiterungen WAB, HTM, HTML, DBX, ABD und TBB durchsucht.

Auf Systemen mit NTFS versucht der Virus, alle PE-Dateien zu infizieren, indem er die originale Datei durch eine Kopie von sich ersetzt und die originale Datei in dem alternativen Data Stream STR speichert.