Инфицированные сообщения электронной почты, имеет следующие характеристики:
Отправитель: "Microsoft" [security@microsoft.com]
Заглавие: использовать этот патч немедленно!
Текст: Дорогой друг, использовать этот патч, Internet Explorer сейчас!
Есть опасный вирус в интернете сейчас!
Более 500.000 уже инфицирован!
Вложенный файл: PATCH.EXE
При активации вирус копирует себя в папку Windows под именем dllreg.exe и в системную папку Windows под именами load32.exe и vxdmgr32.exe. Он также создает и запускает файл windrv.exe. Эта программа представляет собой бэкдор-троян.
Вирус создает в реестре значения load32 в следующем разделе реестра:
\ HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
Win32: Dumaru также модифицирует системные файлы System.ini и Win.ini.
Этот вирус имеет свою собственную процедуру SMTP и собирает адреса электронной почты с помощью функции поиска содержимое файлов с расширениями на следующие: WAB, HTM, HTML, DBX, ABD и TBB.
В системах с NTFS вирус пытается заразить все исполняемые файлы PE, заменив исходный файл с копией самого себя и сохранением оригинального файла в альтернативном потоке данных, называемый УЛ.
Avast! с VPS файла от года или после 19 августа 2003 в состоянии обнаружить этот червь.