Nieuwe variant van Dumaru-worm ontdekt

Dumaru.y verborgen in zip-bestand

26 januari 2004 | Jamie Biesemans Virusbestrijder MessageLabs heeft afgelopen weekend een groot aantal mails met een nieuwe variant van het Dumaru-worm geblokkeerd. Het virus maakt gebruik van een gestolen mailadres en bevat een zip-bestand (myphoto.zip) met enkele foto?s. Als je dit bestand uitpakt, raak je besmet met het virus.

De oorspronkelijke Dumaru-worm was vermomd als Microsoft-patch. Veel mensen hadden niet door dat het om een virus ging, en voerden het bijgevoegde bestandje uit. Dumaru installeerde vervolgens een zogeheten ?keylogger?, een programma dat alle toetsaanslagen registreert, en een achterdeur waardoor een hacker toegang kan krijgen tot een besmette pc.

Dumaru.y doet hetzelfde. Eigenlijk gebeuren er twee dingen: poort 2283 wordt geopend als TCP-proxy, terwijl via poort 10.000 een ftp-server draait die toegang geeft tot alle bestanden op de harde schijf van een pc. Gelukkig lijkt de y-variant vooralsnog weinig voor te komen.

Dumaru.y is te herkennen aan het onderwerp "Important information for you. Read it immediately !" en de boodschap "Hi! Here is my photo, that you asked for yesterday.". Pas als je myphoto.jpg.exe in het bijgevoegde bestand myphoto.zip opent, wordt het virus geïnstalleerd. Dat het om een exe- en niet om een jpg-bestand gaat, wordt verhuld door tussen de .jpg-extensie en .exe 56 spaties aan te brengen. Lees meer artikels over : dumaru, patch

bron: ZDNet