W32/Dumaru-A

Vea la información para eliminar gusanos.

Póngase en contacto con soporte técnico de Sophos para más información.

W32/Dumaru-A es un virus que se extiende a través de email e infecta archivos utilizando NTFS Alternate Data Stream.

El virus llega en un email con las siguientes características:

Remitente: "Microsoft" <security@microsoft.com>
Asunto: Use this patch immediately !
Mensaje: Dear friend, use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Archivo adjunto: patch.exe

Al ejecutar el archivo adjunto, W32/Dumaru-A se copia en la carpeta de Windows con el nombre dllreg.exe y en la carpeta System de Windows con los nombres load32.exe y vxdmgr32.exe.

W32/Dumaru-A copia y ejecuta <Windows>\windrv.exe, que es un troyano de puerta trasera detectado por Sophos Anti-Virus como Troj/Narod-B.

El virus modifica la siguiente clave del registro para activarse en el inicio del sistema:

\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

W32/Dumaru-A también modifica los archivos system.ini y win.ini con referencias a las diferentes copias del gusano.

W32/Dumaru-A dispone de su propio programa de correo SMTP y obtiene las direcciones de los archivos WAB, HTM, HTML, DBX, ABD y TBB.

En sistemas con NTFS el virus intentará infectar todos los archivos ejecutables de Windows sustituyendo el archivo original (que guardará como archivo Alternate Data Stream STR) con una copia del gusano.