Posledn²m povÜimnutia hodn²m poΦφtaΦov²m Φervom, o ktorom v priebehu tohto t²₧d≥a priniesli informßcie viacerΘ domßce i zahraniΦnΘ AV-spoloΦnosti je Φerv Win32/Dumaru.A. Medzi pou₧φvate╛mi, resp. poΦφtaΦmi sa Üφri v²luΦne prostrednφctvom emailov²ch sprßv, vo forme prilo₧enΘho û spustite╛nΘho s·boru, i ke∩ nie prφliÜ intenzφvne. Do systΘmu okrem seba samΘho skryte inÜtaluje aj tr≤jskeho ko≥a, prostrednφctvom ktorΘho m⌠₧e vzdialen² ·toΦnφk (... za pomoci prφkazov zadßvan²ch cez IRC komunikaΦn² kanßl) ovlßda¥ infikovan² systΘm. V poΦφtaΦoch vybaven²ch pevn²mi diskmi so s·borov²m systΘmom NTFS navyÜe Φerv infikuje vÜetky s·bory s prφponou .EXE, vyu₧φvaj·c pritom tzv. alternatφvny dßtov² stream û nazvan² ":STR".

PoΦφtaΦov² Φerv Win32/Dumaru.A vyu₧φva pri svojom Üφrenφ star², dobre znßmy trik zo socißlneho in₧inierstva. Pou₧φvate╛ov sa prostrednφctvom svojich emailov²ch sprßv sna₧φ informova¥ o existencii novej zßplaty urΦenej pre aplikßciu MS Internet Explorer, ktorß vraj zabra≥uje tomu, aby dan² systΘm infikoval r²chlo sa Üφriaci vφrus. Pre zv²Üenie d⌠veryhodnosti sprßvy Φerv vkladß do polo₧ky odosielate╛ pojem "Microsoft", spolu s adresou "security@microsoft.com". ╧alÜφmi identifikaΦn²mi znakmi takejto podstrΦenej, resp. Φervom vytvorenej emailovej sprßvy s· textovΘ informßcie uvedenΘ v jej predmete: "Use this patch immediately !" a tie₧ obsahu: "Dear friend, use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!". Pre vΣΦÜinu pou₧φvate╛ov v prvom okamihu bude urΦite dos¥ podozriv² pozvo╛n² sp⌠sob oslovenia, ktor² by pracovnφci spoloΦnosti Microsoft vo vz¥ahu ku svojim zßkaznφkom zaruΦene nikdy nepou₧ili. Rovnako nepravdepodobnΘ je tie₧ to, ₧e by priamo spoloΦnos¥ Microsoft hromadne rozposielala pou₧φvate╛om novΘ bezpeΦnostnΘ zßplaty pre ╛ubovo╛n² zo svojich produktov formou prilo₧enΘho s·boru. Ten je v tomto prφpade nazvan² PATCH.EXE, priΦom jeho ve╛kos¥ je 9 324 bajtov (... interne je komprimovan² nßstrojom UPX pribli₧ne na pΣtinu p⌠vodnej ve╛kosti).

V prφpade, ₧e pou₧φvate╛ manußlne spustφ prilo₧en² s·bor aktivuje t²m aj samotn² poΦφtaΦov² Φerv. Ten sa okam₧ite pok·si vytvori¥ v danom systΘme tri k≤pie svojho tela, z ktor²ch dve (... nazvanΘ LOAD32.EXE a VXDMGR32.EXE) ukladß do systΘmovΘho adresßra OS MS Windows a jednu (... nazvan· DLLREG.EXE) ukladß priamo do hlavnΘho adresßra OS MS Windows. Do posledne menovanΘho adresßra Φerv vyexportuje a nßsledne spustφ eÜte s·bor nazvan² WINDRV.EXE (... s ve╛kos¥ou presne 8 kB). Ten predstavuje tr≤jskeho ko≥a, ktor² sa po svojej aktivßcii pripßja na heslom chrßnen² IRC komunikaΦn² kanßl, kde Φakß na prφkazy od vzdialenΘho ·toΦnφka (... umo₧≥uj·ce ovlßda¥ infikovan² systΘm). ╧alej sa Φerv postarß o pridanie nov²ch dßt do systΘmov²ch registrov, prostrednφctvom ktor²ch si zabezpeΦφ aktivßciu s·boru LOAD32.EXE pri ka₧dom Ütarte OS. Jednß sa o nasleduj·cu ·pravu:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
... load32 = "%System%\load32.exe"

V poΦφtaΦoch s OS MS Windows 9x-Me modifikuje Φerv eÜte ∩alÜie dva systΘmovΘ s·bory umiestnenΘ v hlavnom adresßri OS MS Windows. Do sekcie [System] v rßmci s·boru SYSTEM.INI pridßva prφkaz "shell=explorer.exe C:\WINDOWS\SYSTEM\vxdmgr32.exe" a zßrove≥ aj do sekcie [Windows] v rßmci s·boru WIN.INI pridßva prφkaz "run=C:\WINDOWS\dllreg.exe", priΦom ich ·lohou je zabezpeΦi¥ aktivßciu tela Φerva pri ka₧dom Ütarte systΘmu.
èφrenie poΦφtaΦovΘho Φerva Win32/Dumaru.A prebieha v²luΦne prostrednφctvom emailov²ch sprßv (... s vyÜÜie spomφnan²mi Üpecifikami). EmailovΘ adresy svojich nov²ch "obetφ" Φerv vyh╛adßva v s·boroch ulo₧en²ch na pevnom disku, ktorΘ maj· prφpony: .ABD, .DBX, .HTM, .HTML, TBB a .WAB. VÜetky nßjdenΘ adresy s· pred ich pou₧itφm ulo₧enΘ v hlavnom adresßri OS MS Windows do s·boru WINLOAD.LOG. Po ich skompletizovanφ Φerv na ka₧d· z nich (... pomocou vlastnej SMTP rutiny) odoÜle predpripraven· emailov· sprßvu so svojim telom v jej prφlohe.
V poΦφtaΦoch s OS MS Windows NT-2003, ktorΘ disponuj· diskmi so s·borov²m systΘmom NTFS navyÜe Φerv infikuje vÜetky s·bory s prφponou .EXE. Pri tomto procese pou₧φva takpovediac netradiΦn· met≤du zalo₧en· na mo₧nostiach tzv. alternatφvnych dßtov²ch streamov. To v praxi znamenß, ₧e p⌠vodn² k≤d s·boru Φerv ukladß do alternatφvneho dßtovΘho streamu nazvanΘho ":STR" a nßsledne do hlavnej Φasti s·boru zapφÜe svoje vlastnΘ telo. Pod╛a dostupn²ch informßciφ sa vÜak v tejto rutine nachßdza chyba, ktorß m⌠₧e za ist²ch okolnostφ sp⌠sobi¥ to, ₧e Φerv pri infikovanφ s·boru "zabudne" ulo₧i¥ jeho p⌠vodn² obsah do alternatφvneho dßtovΘho streamu (... Φφm d⌠jde k jeho nenßvratnej strate).

Na zßver u₧ len spome≥me, ₧e Üφrenie poΦφtaΦovΘho Φerva Win32/Dumaru.A nie je toho Φasu prφliÜ intenzφvne, no nieko╛ko jeho k≤piφ bolo objaven²ch u₧ aj u nßs na Slovensku i v susedn²ch ╚echßch. Identifikova¥ ho naÜ¥astie dokß₧u takmer vÜetky pravidelne aktualizovanΘ AV-systΘmy, priΦom kvalitnejÜie z nich vedia nφm infikovanΘ s·bory aj bezpeΦne vylieΦi¥ û prinavrßti¥ do p⌠vodnΘho stavu. Pre t²ch pou₧φvate╛ov, ktor²ch poΦφtaΦovΘ systΘmy u₧ stihol tento Φerv infikova¥ pon·kame nieko╛ko jedno·Φelov²ch AV-programov urΦen²ch pre jeho r²chlu identifikßciu, eliminßciu i lieΦenie nφm infikovan²ch s·borov û vÜetky s· tak ako v₧dy dostupnΘ v sekcii Jedno·ΦelovΘ AV.