Сетевой червь "Roron": тревога N 1

"Лаборатория Касперского", ведущий российский разработчик антивирусных систем безопасности, сообщает об обнаружении нового сетевого червя "Roron", созданного в Болгарии. На данный момент уже обнаружено 6 разновидностей червя, которые вызвали многочисленные заражения во многих регионах, включая Россию, США и ряд европейских стран.

Деструктивные процедуры, встроенные backdoor-функции (несанкционированное удаленное управление компьютером), способность к многоканальному распространению - все это позволяют присвоить данному червю высшую категорию опасности.

"Roron" распространяется по нескольких каналам передачи данных: через электронную почту в виде прикрепленных файлов, по ресурсам локальных сетей и файлообменной сети KaZaA. Заражение системы происходит, только если пользователь самостоятельно запустит файл-носитель червя, полученный из одного из вышеуказанных источников. В процессе проникновения на компьютер "Roron" создает свои копии в каталогах Windows и Program Files и регистрирует один из этих файлов в ключе авто-запуска системного реестра. Таким образом, червь обеспечивает свою активизацию при каждом запуске операционной системы. В некоторых случаях при заражении червь выводит сообщение о якобы ошибке:

WinZip Self-Extractor License Confirmation
Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.

После окончания процедуры заражения "Roron" активизирует процесс распространения:

• Для рассылки по электронной почте он незаметно для пользователя создает письмо с различными заголовками, текстами и именами вложенных файлов и отсылает его по всем адресам из писем, обнаруженных в почтовом ящике зараженного компьютера;
• Для распространения по ресурсам локальных сетей червь ищет сетевые диски, открытые на полный доступ, и копирует себя туда со случайно выбранным именем. Таким образом "Roron" может записать свои копии на общедоступные серверы, откуда позднее копии червя будут загружены и активизированы локальными пользователями;
• Для распространения по файлообменной сети KaZaA "Roron" находит каталог этой системы и записывает в него свою копию, так что другие пользователи KaZaA могут загрузить инфицированный файл и заразить свой компьютер.

"Roron" обладает арсеналом исключительно опасных деструктивных и шпионских функций. Если на зараженном компьютере установлена программа для работы с IRC-каналами (mIRC), то червь внедряет в нее специальные backdoor-процедуры. Они позволяют злоумышленникам незаметно управлять компьютером, в том числе принимать, отправлять, запускать файлы, рассылать сообщения, перегружать компьютер, отсылать информацию о компьютере и др. Backdoor-компонента червя также может проводить DoS-атаки (Denial of Service) на указанный злоумышленниками компьютер. Таким образом, в случае широкого распространения "Roron" вирусописатели смогут создать сеть зараженных систем и в определенный момент провести массированную распределенную DoS-атаку, аналогичную произошедшей две недели назад, когда атаке подверглись 13 главных серверов Интернет. "Roron" также может удалить все файлы на всех дисках компьютера. Активизация данной функции происходит в следующих случаях: если текущая системная дата - 9-е или 19-е число любого месяца; удален один из системных файлов червя ("WINFILE.DLL"); удалены ключи авто-запуска червя из системного реестра Windows; случайно, в соответствии с внутренним счетчиком. Кроме этого, "Roron" ищет активные процессы некоторых антивирусных программ и пытается принудительно завершить их работу. В дополнение червь пытается удалить эти антивирусные программы с диска.

Процедуры защиты от "Roron" уже добавлены в базу данных Антивируса Касперского.

Более подробная информация о данной вредоносной программе, а также рекомендации по его удалению доступны в Вирусной энциклопедии Касперского.