Dilber: Internetwurm mit Potenzproblemen

Gleich fünf verschiedene Viren verbirgt der neue Internetwurm Dilber, darunter die bekannten Parasiten Chernobyl und Freelink. Ein kleiner Programmierfehler beraubt Dilber jedoch seiner Fortpflanzungsmöglichkeiten.

Nach Aussage von Eugene Kaspersky, Gründer der Antivirenfirma Kaspersky Lab, gehört nicht viel dazu, den Bug zu fixen. Ist der Wurm erst einmal voll funktionsfähig, verbreitet er sich sowohl via E-Mail als auch im LAN.

Im lokalen Netzwerk sucht Dilber nach Rechnern, auf deren Windows-Verzeichnisse er lesend und schreibend zugreifen kann. Anschließend kopiert er in diese Verzeichnisse die Datei Setup_.exe und sorgt über einen Registry-Eintrag für deren automatische Ausführung bei jedem Neustart.

Zur Masseninfektion per E-Mail baut Dilber auf die weite Verbreitung von Outlook. Die ersten 20 Nachrichten, die sich im Outlook-Posteingang des verseuchten PCs befinden, beantwortet der Wurm mit einem kurzen Standardtext und hängt die Datei dilbertdance.jpg.exe an, die seinen Code enthält. Respekt zeigt der Virenschreiber vor Mail-Adressen, die die Zeichenfolgen .mil, .gov, admin, master und abuse enthalten: Sie bekommen keine verseuchte Antwort-Mail.

Das Aufspüren von Dilber dürfte für einige Virenscanner schwierig sein, denn der Wurm ist mit dem wenig bekannten Packprogramm ASPack komprimiert. Die Parasiten Win32.Bolzano, Win95.CIH, VBS.Freelink, Win95.SK sowie Win32.AOC, die Dilber als zusätzliche Schadenskomponente mitbringt, sollten dagegen für ein aktuelles Anti-Virenprogramm kein Problem darstellen. (tri)