Strumento di rimozione Dumaru. download gratuito, Strumento di rimozione Dumaru. download sul download del software

Lo strumento di rimozione Dumaru è un'applicazione leggera che può cancellare completamente il verme Win32.Dumaru in tutte le sue varianti. win32.dumaru.a@mm arriva come email falsa da Microsoft: Da: "Microsoft" Security@microsoft.com Oggetto: Utilizzare immediatamente questa patch! Corpo: Caro amico, usa questa patch di Internet Explorer ora! Ci sono un virus pericoloso su Internet ora! Più di 500.000 già infetti! Allegato: patch.exe. Quando eseguito, il virus farà quanto segue: Copiarsi come: % Sistema% \ load32.exe % Windows% \ dllreg.exe % Sistema% \ VXDMGR32.exe Gocce ed esegue un componente backdoor % Windows% \ windrv.exe (8192 bytes) Che si connette a un server IRC e si unisce a un canale protetto da password, invia un avviso di accesso e attende l'autore di emettere comandi. Crea il valore "Load32" = "% System% \ load32.exe" Nella chiave di registro Su sistemi Windows 9x / Me, fa quanto segue: usa registerServiceProcess per nascondere la sua presenza; Modifica System.ini aggiungendo la voce nella sezione : Shell = Explorer.exe% System% \ VXDMGR32.exe Modifica Win.ini aggiungendo la seguente voce nella sezione : Run = c: \ windows \ dllreg.exe Raccogli gli indirizzi e-mail dai file corrispondenti * .htm. * .wab. * .html. * .dbx. * .tbb. * .abd. E li memorizza in% Windows% \ winload.log file. Utilizza il proprio motore SMTP e si invia alle e-mail raccolte in file winload.log (vedere sopra per il formato di posta elettronica infetto). Chi cerca i file * .exe appartenenti a diversi prodotti antivirus / sicurezza e tentativi di sovrascriverli con copie del virus. win32.dumaru.b/c@mm è un Masser Mailer che ha abilità backdoor (ascolta le porte TCP 1001, 2283, 10000) e proviene anche un keylogger. Tenta di terminare i processi appartenenti a diversi programmi di sicurezza e antivirus. Sulle partizioni NTFS, potrebbe sovrascrivere i file .exe con copie del virus. Si diffonde utilizzando questo formato: A partire dal: sicurezza@microsoft.com. Materia: Usa questo patch immediatamente! Corpo: Caro amico, usa questa patch di Internet Explorer ora! Ci sono un virus pericoloso su Internet ora! Più di 500.000 già infetti! Allegato: patch.exe. Una volta eseguito, il virus fa quanto segue: 1. Crea i file citati e le chiavi / iscrizioni del Registro di sistema. 2. Tentativi di terminare i processi: Zauinst.exe. Zapro.exe. ZoneAlarm.exe. Zatutor.exe. Minilog.exe. Vsmon.exe. Lockdown.exe. Formiche.exe. Veloce.exe. Guardia.exe. Tc.exe. Spyxx.exe. Pview95.exe. Regedit.exe. Drwadson.exe. Sysedit.exe. Nsched32.exe. Moolive.exe. Tca.exe. Tcm.exe. TDS-3.exe. Ss3edit.exe. Update.exe. Atcon.exe. Atupdater.exe. ATWatch.exe W. GFE95.exe. Poproxy.exe. Nprotect.exe. Vssstat.exe. Vshwin32.exe. NDD32.exe. Mcagent.exe. Mcupdate.exe. Watchdog.exe. Taumon.exe. Iiamapp.exe. Iamserv.exe. Blockdown2000.exe. SPHINX.EXE. Webscanx.exe. Vsecomr.exe. Pcciomon.exe. Icload95.exe. Icmon.exe. Icsupp95.exe. ICLOADNT.EXE. Icsuppnt.exe. Frw.exe. Blackice.exe. Blackd.exe. Wrctrl.exe. Wladmin.exe. Wrctrl.exe. Pcfwallicon.exe. APLICA32.EXE. Cfiadmin.exe. Cfiaudit.exe. Cfinet32.exe. Cfinet.exe. TDS2-98.EXE. TDS2-NT.EXE. Safeweb.exe. Nvarch16.exe. MSSMMC32.exe. Persfw.exe. Vsmain.exe. Luall.exe. Lucomserver.exe. Avsynmgr.exe. Defwatch.exe. Rtvscn95.exe. Vpc42.exe. Vptray.exe. Pavproxy.exe. Apvxdwin.exe. Agentvr.exe. Netstat.exe. Mgui.exe. Msconfig.exe. Nmain.exe. Nisum.exe. Nisserv.exe. 3. Su sistemi Windows 9x / Me, alterano Win.ini e System.ini per funzionare all'avvio. Esegui =% Windows% \ dllreg.exe Shell = Explorer.exe% System% \ VXDMGR32.exe 4. Raccogli gli indirizzi e-mail effettuando la ricerca all'interno: .htm .wab. .html. .dbx. .tbb. .ABD. E tenta di inviarsi utilizzando il formato di posta elettronica sopra descritto, utilizzando il proprio motore SMTP e l'indirizzo SMTP predefinito. 5. Tenta di infettare i file .exe sui partizioni NTFS, ma a causa di un bug nella ricerca, infetta solo il file .exe sulla radice delle unità. 6. Collega a un server IRC e si unisce a un canale, ascolta le porte 1001, 10000 (TCP) per i comandi da un utente malintenzionato. Inoltre, Port 2283 (TCP) viene utilizzato come invio (come un proxy). 7. Cattura e registra il clipperboard a% Windows% \ rundllx.sys 8. Cattura e registri tasti (ma anche il nome del programma) a% Windows% \ VXDLOAD.Log 9. Tenta di connettersi a un server FTP e caricare un file .eml che contiene password e altre informazioni. win32.dumaru.y@mm è un verme che viene fornito per posta nel seguente messaggio: Da: "Elene" Oggetto: informazioni importanti per te. Leggilo immediatamente! Corpo: Ciao ! Ecco la mia foto, che hai chiesto ieri. Allegato: myphoto.jpg .exe Il worm si copia con la cartella di sistema di Windows con i nomi L32x.exe e VXD32V.exe e nella cartella di avvio con il nome DLXW.EXE, aggiunge la chiave di registro: HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Esegui \ Load32 = l32x.exe Inoltre aggiunge alla linea Shell (in System.ini su Windows 95, 98 e Me, o nel registro su Windows NT, 2000 e XP): Shell =% systemdir% \ vxd32.exe Si installa anche un keylogger e un monitor per appunti e il worm ascolta i comandi sulla porta 2283 e apre un server FTP sulla porta 10000. Il componente Mass-Mailing raccoglie gli indirizzi e-mail da file con estensioni .htm, .wab, .html, .dbx, .tbb, .abd e invia e-mail utilizzando il proprio motore di invio.

Strumento di rimozione Dumaru. Software correlato