регистрация | карта сайта
Постоянно обновляемая лента новостей
Обзоры, комментарии и статьи
Даты и дополнительная информация о событиях компьютерного рынка
Контакты, виды деятельности, предложения и другая информация о компьютерных компаниях
Новости, анонсы и пресс-релизы компьютерных компаний
Конференции с участием ведущих специалистов и экспертов
Информация для пользователей ITware, изменения персональных настроек, персональные закладки и web-карточки, служба переадресации
Неделя цифровых технологий
   
    
     Как искать?   Расширенный поиск
 ITware :. Новости      Вход для зарегистрированных пользователейВыход
Архив
ноябрь 2000
октябрь 2000
сентябрь 2000
август 2000
июль 2000
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
июнь 2000
май 2000
апрель 2000
март 2000
Реклама





Internet-червь Dilber заражает ПК в локальной сети

4 июля 2000 г.

Антивирусная лаборатория "ЦЕБИТ" сообщила о появлении нового Internet-червя I-Worm.Dilber.

    Червь приходится "родственником" вирусу I-Worm.Silver и, скорее всего, написан тем же автором. Так же, как и "Silver", он является приложением Windows и написан на языке Delphi. Вирус рассылает себя в письмах электронной почты и заражает компьютеры в локальной сети.

При запуске червь инсталлирует себя в систему. Для этого он дважды копирует себя в каталог Windows с именами: SETUP_.EXE, DILBERTDANCE.JPG.EXE. Файл SETUP_.EXE затем регистрирует себя в секциях автоматического запуска системного реестра.

При рассылке писем со своей копией червь создает и запускает дополнительный скрипт-файл SENDMAIL.VBS. Скрипт червя открывает каталог входящих писем (Inbox), считывает их и отвечает на 20 писем. При этом заголовок письма не изменяется (добавляется стандартный префикс "Re"), а текст и имя вложения содержат следующее:

Текст:
======
Hi "sendername"
Received your mail, and will send you a reply ASAP
Until then, check out this funny Dilbert Dance (attached)

Имя вложения: dilbertdance.jpg.exe

где "sendername" является именем отправителя письма, на которое посылается зараженный "ответ").

Червь помечает все письма, на которые он послал ответ, символом табуляции в конце заголовка письма (символ табуляции при этом невидим). Затем, при повторной рассылке писем, червь проверяет входящие письма и не отвечает на те из них, которые содержат символ табуляции, т.е. не отвечает на одно и то же письмо дважды. Червь также запоминает в файле WINDOWS.EXE в каталоге Windows все адреса, на которые были отправлены зараженные письма. Червь также не посылает письма на адреса, если в них содержатся строки: .mil, .gov, admin, master, abuse.

Для заражения компьютеров в локальной сети червь на все доступных дисках каталог Windows и, если такой есть, копирует в него свою копию и регистрирует ее в секции автозапуска в файле WIN.INI (в случае Win9x) или в системном реестре (WinNT). Таким образом, червь способен заражать удаленные компьютеры, если к их дискам открыт полный доступ.

    По материалам пресс-релиза компании "ЦЕБИТ"

© ICC. Перепечатка допускается
только с разрешения .		 Новости Публикации Календарь событий Пресс-центр
IT-каталог: продукты IT-каталог: компании Библиотека
Форум Персональные сервисы Регистрация Карта сайта