W32/Dumaru

Eigentlich ist Dumaru ein Wurm, doch ist er auch imstande, EXE-Dateien anzustecken. Diese können in der Regel nicht gesäubert werden und müssen von einem Backup oder ab der Windows-Installations-CD wiederhergestellt werden.

Seit Dumaru ca. Mitte August 2003 erstmals gesichtet wurde, sind verschiedene Varianten aufgetaucht, die hauptsächlich entweder der Variante A oder der Variante B gleichen (siehe unten). Alle bisher (Stand: 11.09.2003) bekannten Varianten verschicken sich automatisch per E-Mail an Adressen, die der Wurm in verschiedenen Dateien auf dem infizierten PC gefunden hat. Die Mails kommen als gefälschte Microsoft-Updates daher:

Gefälschter Absender: "Microsoft" <security@microsoft.com>

Betreff: "Use this patch immediately !"

Name der Beilage (ein Exemplar des Wurms): patch.exe

Mail-Text: Dear friend , use this Internet Explorer patch now!

There are dangerous virus in the Internet now!

More than 500.000 already infected!

Variante W32/Dumaru.A:

Wird die Datei auf einem Windows-PC ausgeführt, verteilt der Wurm einige Kopien von sich auf der Festplatte und trägt drei davon im System ein:

Datei im System-Ordner (z.B. in C:\Windows\System\): load32.exe

Diese wird in der Registry eingetragen, und zwar in diesem Zweig:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Der Eintrag heisst "load32" und verweist auch auf die gleichnamige Datei.

Datei im Windows-Ordner (z.B. in C:\Windows\): dllreg.exe

Diese trägt der Wurm in der Datei Win.ini ein:

Und zwar im Bereich "[windows]", mit dem Eintrag: "Run=dllreg.exe"

Datei im System-Ordner (z.B. in C:\Windows\System\): vxdmgr32.exe

Diese trägt der Wurm in der Datei System.ini ein:

Und zwar als zweiten Eintrag hinter "explorer" im Bereich "[Boot]", "Shell=explorer vxdmgr32.exe"

Der vom Wurm platzierte Trojaner findet sich unter dem Namen windrv.exe im Windows-Ordner. Bei F-Secure ist dieser Trojaner als "Backdoor.Small.d" bekannt. Wird dieser Trojaner ausgeführt, verbindet sich dieser mit einem vordefinierten Kanal auf einem IRC-Server (Internet Relay Chat) und wartet auf Fernsteuerungs-Anweisungen seines Schöpfers.

Die Adressen, an die sich der Wurm weiterverbreitet, stammen aus dem Outlook Express Adressbuch, aus Text-Dateien (z.B. TXT, HTML) und anderen Files. Der Wurm legt diese Adressen in einer Datei namens winload.log im Windows-Ordner ab.

Handelt es sich beim infizierten PC um ein System mit dem Dateisystem NTFS (z.B. unter Windows NT/2000/XP), steckt der Wurm auch EXE-Dateien an, die er vornehmlich direkt im Root-Verzeichnis (C:\, D:\ etc.) aller vorhandenen Partitionen findet.

Beseitigung:

Symantec hat für diese Dumaru-Variante (W32/Dumaru.A) ein Beseitigungs-Tool und eine deutsche Anleitung [1] bereitgestellt, die Ihnen beim Entfernen des Wurms hilft. Falls Sie Windows XP oder Windows ME haben, ist es wichtig, dass Sie den Schritt nicht überspringen, der beschreibt, wie Sie die so genannte "Systemwiederherstellung" deaktivieren. Wie eingangs erwähnt, lassen sich bestehende EXE-Dateien, die der Wurm angesteckt hat, in der Regel nicht säubern.

Variante: W32/Dumaru.B

Diese unterscheidet sich in einigen Punkten von der Variante A, weshalb hierfür nicht das oben erwähnte Beseitigungs-Programm von Symantec verwendet werden kann. Der grösste Unterschied besteht darin, dass diese Variante noch bedenklichere Hintertüren öffnet und Daten stiehlt.

Auch Variante B dieses Wurms kann auf NTFS-Partitionen EXE-Dateien anstecken. Die Dateien und Einträge, die der Wurm im System ablegt, sind fast gleich:

Datei im Windows-System-Ordner (z.B. in C:\Windows\System\): load32.exe

Diese wird in diesem Registry-Zweig eingetragen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Der Eintrag heisst "load32" und verweist auch auf die gleichnamige Datei.

Datei im Autostart-Ordner des angemeldeten Users: rundllw.exe

Datei im Windows-Ordner (z.B. in C:\Windows\): dllreg.exe

Diese trägt der Wurm in der Datei Win.ini ein:

Und zwar im Bereich "[windows]", mit dem Eintrag: "Run=dllreg.exe"

Datei im System-Ordner (z.B. in C:\Windows\System\): vxdmgr32.exe

Diese trägt der Wurm in der Datei System.ini ein:

Und zwar als zweiten Eintrag hinter "explorer" im Bereich "[Boot]", "Shell=explorer vxdmgr32.exe"

Der vom Wurm platzierte Trojaner findet sich auch in dieser Dumaru-Variante unter dem Namen windrv.exe im Windows-Ordner. Bei F-Secure ist dieser Trojaner als "Backdoor.Small.d" bekannt. Wird dieser Trojaner ausgeführt, verbindet sich dieser mit einem vordefinierten Kanal auf einem IRC-Server (Internet Relay Chat) und wartet auf Fernsteuerungs-Anweisungen seines Schöpfers.

Zusätzlich wird unter dem Dateinamen guid32.dll ein so genannter Keylogger im Windows-Ordner abgelegt (z.B. in C:\Windows\). Dieser zeichnet die Tastenanschläge des Users auf und versucht so an Passwörter zu kommen. Im Unterschied zur Ur-Variante dieses Wurms öffnet der Schädling in der Netzwerk- oder Internet-Verbindung des PCs einige Ports (Port 1001, Port 2283, Port 10000). Diese Ports erlauben einem Angreifer von aussen FTP-Zugriff auf die ganze Festplatte, machen den Computer teilweise von aussen fernsteuerbar und lassen den PC für den Zugriff auf Dritt-Systeme missbrauchen.

Dumaru.B legt im Windows-Ordner eine Programmdatei namens winimg.exe ab, die er braucht, um die geklauten Passwörter in eine neue Datei mit dem Namen rundllz.sys zu speichern.

Die Verbreitung von Dumaru.B erfolgt auf dieselbe Weise und mit gleich lautenden Mails wie bei Variante A. Auch werden die Adressen in eine Datei namens winload.log im Windows-Ordner geschrieben.

Wie schon andere Schädlinge zuvor, beendet Dumaru.B die im Hintergrund laufenden Prozesse vieler Anwendungen, die zu Antiviren- bzw. Antitrojaner-Programmen gehören. Die Liste der betroffenen Anwendungen finden Sie in der Beschreibung von F-Secure [2].

Beseitigung: Bei NAI (McAfee) gibts ein Beseitigungs-Programm mit dem Namen "Stinger" [3]. Dieses kann ausser ein paar anderen Viren auch diverse Dumaru-Varianten aus dem System entfernen. Aber auch hier müssen Benutzer von Windows ME und Windows XP vorher die Systemwiederherstellung deaktivieren. Wer unter Windows NT/2000/XP die Festplatten mit NTFS formatiert hat, muss die vom Wurm befallenen EXE-Dateien ab Backup bzw. Windows-CD wiederherstellen.

Weitere Beschreibungen über diese recht weit verbreiteten Schädlinge finden Sie auf der Webseite Ihres Antivirusherstellers.