51816

"Dilber"-Wurm trägt Viren

05.07.2000 | 21:07 Uhr |

Russische Virenexperten haben einen neuen Internetwurmentdeckt. Der „Dilber“ genannte Wurm trägt fünf sehr gefährliche Computerviren mit sich, darunter die bekannten Viren Win95/CIH(Tschernobyl), Win95/SKoder VBS/FreeLinks. Es soll vom gleichen Autor wie der verwandte Silber-Wurm stammen.

Russische Virenexperten haben einen neuen entdeckt. Der „Dilber“ genannte Wurm trägt fünf sehr gefährliche Computerviren mit sich, darunter die bekannten Viren Win95/CIH (Tschernobyl), Win95/SK oder VBS/FreeLinks . Es soll vom gleichen Autor wie der verwandte Silber-Wurm stammen.

Aufgrund eines Programmierfehlers kann sich „Dilber“ jedoch nicht via Mail verbreiten. Entsprechend gehe daher bislang keine ernsthafte Bedrohung von dem Wurm aus: „Wir hatten großes Glück, dass es diesen Programmierfehler gab. Es ist schwierig, sich die Folgen vorzustellen, hätte es diesen Fehler nicht gegeben“, erklärte Eugene Kaspersky, Vorstand des russischen Antivirus-Softwareentwicklers Kaspersky Lab. „Es besteht jedoch durchaus die Wahrscheinlichkeit, dass dieser Fehler von einem Programmierer korrigiert wird, und sich somit der Wurm doch noch im Internet verbreiten kann.“

Bei seiner Aktivierung installiert sich der Wurm als Datei SETUP_.EXE im System und sorgt mit Einträgen in der Registry und der Datei WIN.INI dafür, dass er beim Systemstart aktiviert wird. Falls ihm das nicht gelingt, findet sich eine Wurmkopie mit dem namen DILBERTDANCE.JPG.EXE im Windows-Verzeichnis.

Der Wurm bleibt mit Hilfe von zwei Programmen im Hintergrund aktiv: Eine versucht, alle 40 Minuten infizierte Antworten an die 20 ersten unbeantworteten Mails im Posteingang zu schicken und fünf Viren auszusetzen. Mit einem zweiten Schadprogramm versucht der Wurm jede Stunde das lokale Netz zu infizieren. Beides gelingt ihm aufgrund eines kleinen Programmierfehlers nach Angaben von Eugene Kaspersky nicht.

Infizierte Antwort-Mails enthalten den Text

Hi "name"

Received your mail, and will send you a reply ASAP

Until then, check out this funny Dilbert Dance (attached)

Attached file name: dilbertdance.jpg.exe

wobei "name" der Name des Empfängers ist. Mit Hilfe einer Markierung im Betreff und der Speicherung von Adressen vermeidet der Wurm, bereits beantwortete Mails nochmals zu beantworten oder Empfänger mehrfach Mails zu schicken. Keine Post geht an Mail-Adressen, die Texte .mil, .gov, admin, master oder abuse enthalten.

Je nach Datum setzt der Dilber-Wurm einen von fünf Viren aus, die er mit sich trägt: Win32/Bolzano am 7. eines Monats, (15. des Monats), (17. des Monats), (22. des Monats) und Win32/AOC am 31. eines Monats.

Kaspersky Lab hat für sein Programm AVP Antivirus bereits ein Update im Netz bereitgestellt. Seit geraumer Zeit bietet der Softwarehersteller zudem auf der Website www.viruslist.com eine umfangreiche Gratis-Enzyklopädie sowie Tipps zum Thema Computerviren an. (PC-WELT, 05.07.2000, jas/ kk)

Info des Kaspersky Lab über Dilber

Hacker und Viren: Drastischer Anstieg (PC-WELT Online, 04.07.2000)

PC-WELT: Hintergrund-Artikel zu Viren

PC-WELT: Hintergrund-Artikel zu Bugs und Sicherheitsrisiken

0 Kommentare zu diesem Artikel
51816