Una nueva variante de la familia Dumaru de gran difusión, fue encontrada
el 24 de Enero del 2004, pertenece a una familia de gusanos de correo masivo,
con la característica de robar información de la PC a través
de varios “backdoors”.

Desinfección Manual:

Es manual y consiste de los siguientes pasos:

1.- Elimine la entrada al registro:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunload32

2.- Elimine los archivos:

%SysDir%l32x.exe

%SysDir%vxd32v.exe

dllxw.exe de la carpeta de inicio

3.- Rescriba el archivo system.ini

[Boot]

Shell=explorer

4.- Reinicie la computadora

Funcionamiento:

Infección del Sistema:

Al ejecutarse Dumaru.Y instala varias copias de si mismo en la PC:

- l32x.exe en la carpeta de Sistema de Windows y se añada al registro
así:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunload32

- dllxw.exe se copia a la carpeta de Inicio.

- vxd32v.exe se copia a la carpeta de Sistema de Windows y se añade
al archivo “System.Ini”:

[Boot]

Shell=explorer vxd32v.exe

Daño que ocasiona:

Al robar información a través de programas de tipo “Back
Door”, se podrá obtener infamación sensible del “ClipBoard”,
Datos Protegidos, información sensible de los usuarios de www.e-gold.com.
Lo anterior lo logra a través de un servicio de FTP que provee a través
del puerto 10000 acceso sin restricciones a la máquina infectada.

Propagación por Correo:

Dumaru.Y utiliza su propio programa de SMTP para enviarse. Su SMTP utiliza
el servicio “direct name” en la víctima para no depender
del servicio propio que tenga el usuario.

Para obtener las direcciones de correo el gusano busca en todos los directorios
de la PC y archivos que pudieran contener direcciones de correo .htm , .wab ,
.html ,.dbx , .tbb , .abd

Presentación:

Llega un correo así:

Desinfección automática:

F-secure detecta y elimina este gusano con la actualización del 24 de
Enero del 2004.