Интернет-червь Dilber: челнок, полный вирусов

Лаборатория Касперского сообщает о новом интернет-черве под названием I-Worm.Dilber. Червь содержит 5 различных компьютерных вирусов, закодированных в его теле, такие как: «Чернобыль», «Freelink», и «SK». Каждый из этих вирусов активизируется в зависимости от текущещей даты.

Несмотря на столь внушительный и опасный груз, червь не несет реальной угрозы компьютерным пользователям: из-за незначительной ошибки в коде вируса, он не способен распространяться по электронной почте или в локальной сети.

«В данном случае нам крупно повезло. Трудно даже представить масштабы последствий, если бы этот червь имел способность к распространению», — сказал Евгений Касперский, — «Однако не исключено, что в будущем будет выпущена более работоспособная версия. Этот червь опасен также тем, что он запакован утилитой сжатия ASPack. Только немногие антивирусные программы (в т.ч. «Антивирус Касперского») способны обнаруживать вирусы в этом формате».

Червь приходится «родственником» вируса I-Worm.Silver и, скорее всего, написан тем же автором. Так же, как и «Silver», является приложением Windows и написан на языке Delphi. Рассылает себя в письмах электронной почты и заражает компьютеры в локальной сети.

При запуске червь инсталлирует себя в систему. Для этого он дважды копирует себя в каталог Windows с именами: SETUP_.EXE, DILBERTDANCE.JPG.EXE. Файл SETUP_.EXE затем регистрирует себя в секциях авто-старта системного
реестра.

При рассылке писем со своей копией червь создает и запускает дополнительный скрипт-файл SENDMAIL.VBS. Скрипт червя открывает каталог входящих писем (Inbox), считывает их и отвечает на 20 писем. При этом заголовок письма не
изменяется (добавляется стандартный префикс «Re»), а текст и имя вложения содержат следующее:

Текст:
Hi «sendername»
Received your mail, and will send you a reply ASAP
Until then, check out this funny Dilbert Dance (attached)

Имя вложения: dilbertdance.jpg.exe

где «sendername» является именем отправителя письма, на которое следует зараженный «ответ».

Червь помечает все «отвеченные» письма символом табуляции в конце заголовка письма (символ табуляции при этом невидим). Затем, при повторной рассылке писем, червь проверяет входящие письма и не отвечает на те из них, которые содержат символ табуляции. Таким образом червь не отвечает на одно и то же письмо дважды.

Червь также запоминает в файле WINDOWS.EXE в каталоге Windows все адреса, на которые были отправлены зараженные письма. При рассылке червь проверяет эти адреса и не отсылает свою копию дважды на один и тот же адрес.

Червь также не посылает письма на адреса, если в них содержатся строки:

.mil, .gov, admin, master, abuse

Для заражения компьютеров в локальной сети червь перебивает ресурсы сети (все доступные диски), ищет на них каталог Windows и, если такой есть, копирует в него свою копию и регистрирует ее в секции авто-запуска в файле WIN.INI (в случае Win9x) или в системном реестре (WinNT). Таким образом червь способен заражать удаленные компьютеры, если их диски открыты на полный доступ.

Процедуры защиты от червя «Dilber» добавлены в очередное ежедневное обновление антивирусной базы «Антивируса Касперского».