Dumaru.Y
PeligrosidadDañoPropagación

Efectos 

Dumaru.Y realiza las siguientes acciones:

• Registra las pulsaciones del teclado cuando el usuario accede a ciertas páginas web pertenecientes a la banca electrónica.
• Registra la información que el usuario copia en el Portapapeles de Windows.
• Envía los ficheros de registro a través del correo electrónico a su autor.
• Permite a un hacker ganar acceso remoto al ordenador afectado, escuchando en varios puertos TCP.
• Intenta obtener claves de programas que se encuentran instalados en el ordenador afectado.
• Intenta registrarse a sí mismo como un servicio de Windows.

Metodo de Infección 

Dumaru.Y crea los siguientes ficheros:

• DLLXW.EXE en el directorio de Inicio. Al crear esta copia de sí mismo en este directorio, Dumaru.Y consigue ejecutarse cada vez que se inicie Windows.
• L32X.EXE y VXD32V.EXE en el directorio de sistema de Windows. Estos ficheros son copias del gusano.
• ZIP.TMP en el directorio temporal de Windows. Este fichero es una copia del gusano.
• VXDLOAD.LOG en el directorio de Windows. Este fichero registra las pulsaciones del teclado del usuario cuando accede a ciertas páginas web de la banca electrónica.
• RUNDLLX.SYS en el directorio de Windows. Este fichero registra la información que el usuario copia al Portapapeles de Windows.

En ordenadores con Windows Me/98/95, Dumaru.Y modifica el siguiente fichero:

• SYSTEM.INI: añade a la línea que comienza por
  [boot]
  shell = explorer.exe
  la siguiente información: %sysdir%\vxd32v.exe
  donde %sysdir% es el directorio de sistema de Windows, resultando:
  [boot]
  shell = explorer.exe %sysdir%\vxd32v.exe
  Modificando este fichero, Dumaru.Y consigue ejecutarse cada vez que se inicie Windows.

Dumaru.Y crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  load32 = %sysdir%\l32x.exe
  Con esta entrada, Dumaru.Y consigue ejecutarse cada vez que se inicie Windows.

Dumaru.Y modifica la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
  Shell = explorer.exe %sysdir%\vxd32v.exe
  Modificando esta entrada, consigue ejecutarse cada vez que se inicie Windows.

Método de Propagación 

Dumaru.Y se propaga a través del correo electrónico. Realiza el siguiente proceso:

• Llega al ordenador en un mensaje de correo con las siguientes características:
  
  Remitente:
  "Elene" fuckensuicide@hotmail.com
  
  Asunto:
  Important information for you. Read it immediately !
  
  Contenido:
  Hi!
  Here is my photo that you asked for yesterday.
  
  Fichero adjunto:
  MYPHOTO.ZIP  

• El fichero adjunto está comprimido en formato ZIP. Contiene el fichero MYPHOTO.JPG <espacios en blanco> .EXE.
• Cuando el usuario ejecute el fichero descomprimido, el ordenador quedará afectado.
• Dumaru.Y busca direcciones de correo en los ficheros que ha guardado con extensión ABD, DBX, HTM, HTML, TBB y WAB.
• Dumaru.Y se envía a sí mismo a todas las direcciones que encuentre, utilizando su propio motor SMTP.

Otros Detalles  

El gusano tiene un tamaño de 17370 Bytes, y se encuentra comprimido con FSG v1.33.