Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Email-Worm.Win32.Dilber

Jest to robak internetowy, podobny do wirusa I-Worm.Silver. Prawdopodobnie został napisany przez tę samą osobę. Podobnie jak Silver, wirus ma postać pliku uruchamialnego, napisanego w Delphi.

Instalacja

Gdy robak przejmie kontrolę, instaluje się w systemie. W tym celu kopiuje się do katalogu Windows z nazwą SETUP_.EXE, po czym rejestruje ten plik w trzech kluczach rejestru systemowego:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Wszystkie te pola zawierają instrukcję:

"Unchained Infection" = WinDir\setup_.exe

gdzie "WinDir" to nazwa katalogu, w którym zainstalowany jest system Windows.

Ponadto robak rejestruje swoją kopię w sekcji auto-run pliku WIN.INI:

[windows]
...
run=WinDir\setup_exe
...

W przypadku gdy nie powiedzie się instalacja pliku SETUP_.EXE, robak ponawia próbę używając nazwy DILBERTDANCE.JPG.EXE.

Następnie robak pozostaje w pamięci Windows jako aplikacja działająca w tle (w przypadku systemu Win9x) lub jako serwis (w przypadku WinNT) i uruchamia swoje funkcje rozprzestrzeniające.

Wysyłanie wiadomości e-mail

W celu wysłania zainfekowanej wiadomości, robak wykorzystuje program MS Outlook oraz pomocniczy plik SENMAIL.VBS. Jest to skrypt napisanym w języku VisualBasicScript. Skrypt ren pobiera wszystkie wiadomości ze Skrzynki odbiorczej i "odpowiada" na pierwszych 20:

  • Treść:
    Hi "nadawca"
    Received your mail, and will send you a reply ASAP
    Until then, check out this funny Dilbert Dance (attached)
  • Załącznik: dilbertdance.jpg.exe

gdzie "nadawca" jest nazwą wysyłającego wiadomość.

Następnie robak zaznacza zainfekowane wiadomości, umieszczając znak tabulacji na końcu pola Temat. Dzięki temu robak nigdy nie odpowiada dwa razy na tę samą wiadomość.

Robak przechowuje także listę adresów, pod które zostały wysłane zainfekowane wiadomości. Lista ta znajduje się w katalogu Windows, w pliku WINDOWS.EXE. Robak nigdy nie wysyła wiadomości dwa razy pod ten sam adres.

Ponadto robak nie wysyła zainfekowanych wiadomości, pod adresy zawierające ciągi: .mil, .gov, admin, master, abuse.

Rozprzestrzenianie w sieciach lokalnych

Aby rozprzestrzeniać się w sieciach lokalnych, robak określa zasoby sieciowe (zmapowane dyski), wśród nich odnajduje napędy udostępnione do odczytu i zapisu, na tych dyskach szuka katalogów WINDOWS oraz WINNT i kopiuje się do nich z nazwą SETUP_.EXE, po czym rejestruje się w pliku WIN.INI i/lub rejestrze systemowym.

W rezultacie jeśli w sieci lokalnej istnieją komputery, których dyski są udostępnione do odczytu i zapisu, robak zainstaluje się na nich i będzie aktywny po ponownym uruchomieniu zaatakowanych systemów.

Uruchamianie innych wirusów

Robak przechowuje w swoim kodzie obrazy pięciu wirusów w zaszyfrowanej postaci. W zależności od daty systemowej, robak "wpuszcza" te wirusy do zainfekowanego systemu: