VIRUS INFO
Naziv virusa: I-Worm.Dilber
Alias:
Tip: worm
Način širenja: e-mailom
Veličina:
Destruktivan:
da
Datum aktiviranja:
Otkriven: 3.07.2000.

OBJAŠNJENJE
Ovo je internet worm (crv) koji je napisan od strane autora poznatog virusa Silver. Ovaj virus je napisan u Delphi programskom jeziku. 

Širi se kao e-mail poruka već ranije poslatih prvih 20 poruka koje nađe u Sent direktorijumu sa istom subject linijom, ali tekst poruka je sledeći: 

Hi "ime_kome_je poslata_ranija_poruka"
Received your mail, and will send you a reply ASAP 
Until then, check out this funny Dilbert Dance (attached).

Attachment: DILBERTDANCE.JPG.EXE. 

Prilikom izvršanja pristiglog fajla, virus kreira fajl SETUP_.EXE u Windows sistem direktorijumu. 

Kreira i sledeće ključeve u Registry bazi:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run\,

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run\,

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices\. 

Svi ovi ključevi imaju vrednost: 

"Unchained Infection" = WindowsDirektorijum\setup_.exe.

Kada se pošalje na 20 e-mail adresa, virus obriše poslate poruke. Na ovaj način virus sprečava nepotrebno slanje istih poruka na istu e-mail adresu. Krera fajl WINDOWS.EXE u kome drži adrese korisnika kojima se već poslao. Virus ne šalje e-mail poruke na e-mail adrese koje se završavaju sa: .mil, .gov, .admin, .master i .abuse (npr. virus@ja.mil). 

Virus doda stavku u WIN.INI fajl: 

[windows]
 ... 
run=WindowsDirektorijum\setup_exe
 ...

Ako kojim slučajem virus ne uspe da kreira fajl SETUP_.EXE, po algoritmu kreira fajl DILBERTDANCE.JPG.EXE.

Kada se Windows sledeći put startuje virus održava dve rutine stalno. Jedna rutina je da svakih 40 minuta u pozadini virus preko VBS skripta, u zavisnosto od dana koji je, inficira računar sa još jednim virusom. 

Datum:                  ime virusa         naziv fajla

 7. u mesecu:    Win32.Bolzano   BOLZANO.EXE
15. u mesecu:   Win95.CIH        CIH_15.EXE
17. u mesecu:   VBS.FreeLink    LINKS.VBS
22. u mesecu:   Win95.SK          WINSK.COM
31. u mesecu:   Wni32.AOC       BEE_AOC.EXE.

A druga rutina se aktivira svakih sat vremena i inficira svaki računar sa kojim je zaraženi računar u mreži. Na računarima koji su umreženi treba brzo reagovati pošto se virus brzo širi sa teškim posledicama.

REŠENJE
Ne otvarati poruku sa nepoznatim fajlom iako je od poznate osobe. 

Treba obrisati sledeće ključeve u Registry bazi:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run\,

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run\,

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices\. 

i vrednost: "Unchained Infection" = WindowsDirektorijum\setup_.exe.

Treba obrisati sledeće fajlove: SETUP_.EXE i DILBERTDANCE.JPG.EXE

Treba još proveriti da li postoje sledeći fajlovi: BOLZANO.EXE, CIH_15.EXE, LINKS.VBS, WINSK.COM i BEE_AOC.EXE

Osveženi antivirusni program treba uvek imati.






  Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.  


 

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

  
VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.