Win32.Dumaru es un virus que llega como mensaje de correo teniendo como remitente falso la empresa Microsoft:

From: "Microsoft" <security@microsoft.com>
Subject: Use this patch immediately !
Body: Dear friend , use this Internet Explorer patch now!
There are dangerous virus in the Internet now!
More than 500.000 already infected!
Attachment: patch.exe

En cuanto se ejecuta el virus hace lo siguiente:

1. Se copia a sí mismo bajo los siguientes nombres de ficheros:

%SYSTEM%\load32.exe
%WINDOWS%\dllreg.exe
%SYSTEM%\vxdmgr32.exe

2. Crea y ejecuta un componente backdoor:

%WINDOWS%\windrv.exe (8192 bytes)

que conecta con un servidor de IRC y se une a un canal protegido con contraseña, envía una aviso de login y luego espera que el autor lance un comando (una instrucción).

3. Genera la siguiente clave de registro de Windows:

KKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"load32"="%SYSTEM%\load32.exe"

4. En los sistemas Windows 9x/Me, hace lo siguiente:

- utiliza el RegisterServiceProcess para esconder su presencia
- modifica el fichero system.ini añadiendo la siguiente entrada en la sección de [Boot]:
shell=explorer.exe C:\WINDOWS\SYSTEM\vxdmgr32.exe

- modifica el fichero win.ini añadiendo la siguiente entrada en la sección de [Windows]:
run=C:\WINDOWS\dllreg.exe

5. Colecciona todas las direcciones de correo desde los ficheros de tipo

*.htm
*.wab
*.html
*.dbx
*.tbb
*.abd

y las guarda en %WINDOWS%\winload.log.

6. Busca los ficheros ejecutables *.exe perteneciendo a unos cuantos productos antivirus y de seguridad informática e intenta sobrescribirlas con copias del virus.

7. Utiliza su propio motor SMTP y envía emails a todas las direcciones de correo encontradas en el fichero antes mencionado winload.log (vease más arriba el formato del correo electrónico utilizado)

Detalle del virus:

Nombre: Win32.Dumaru.A@mm
Alias: W32.Dumaru@mm (Symantec)
Tipo: Mensajero masivo ejecutable
Tamaño: 9,234 bytes
Descubierto: 19 de agosto de 2003
Detectado: 19 de agosto de 2003, 12:00 (GMT+1)
Propagación: Media
Daño: Medio
ITW: Sí

Síntomas:
- Se crean los siguientes ficheros:

%WINDOWS%\dllreg.exe
%SYSTEM%\load32.exe
%SYSTEM%\vxdmgr32.exe
%WINDOWS%\windrv.exe

- Se generan las siguientes claves de registro de Windows:
KKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"load32"="%SYSTEM%\load32.exe"donde %WINDOWS% apunta a la carpeta Windows y %SYSTEM% a la carpeta System (Win9x/Me) o System32 (Win2K/XP).