Червь “Roron” очищает жёсткий диск, если его файл оказывается стёртым
Новый червь “Roron” уничтожает все файлы по 9 и 19 числам каждого месяца.
“Лаборатория Касперского”, сообщает об обнаружении нового сетевого червя “Roron”, созданного в Болгарии. На данный момент уже обнаружено 6 разновидностей вируса.
Они вызвали многочисленные заражения во многих регионах, включая Россию, США и ряд европейских стран. “Лаборатория Касперского” присвоила червю высшую степень опасности, несмотря на то, что функции автозапуска у этой твари нет: вирус активируется только в том случае, если пользователь сам запустит файл-носитель.
“Roron” распространяется по нескольким каналам передачи данных: через электронную почту в виде прикреплённых файлов, по ресурсам локальных сетей и файлообменной сети KaZaA.
В процессе проникновения на компьютер “Roron” создает свои копии в каталогах Windows и Program Files и регистрирует один из этих файлов в ключе авто-запуска системного реестра.
Таким образом, червь обеспечивает свою активизацию при каждом запуске операционной системы. В некоторых случаях при заражении червь выводит сообщение о том, что на компьютере находится нелицензионная версия WinZip:
WinZip Self-Extractor License Confirmation
Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.
“Roron”, как сообщает “Лаборатория Касперского”, обладает целым арсеналом исключительно опасных деструктивных и шпионских функций.
Если на зараженном компьютере установлена программа для работы с IRC-каналами (mIRC), то червь внедряет в нее специальные backdoor-процедуры.
Они позволяют злоумышленникам незаметно управлять компьютером, в том числе принимать, отправлять, запускать файлы, рассылать сообщения, перегружать компьютер, отсылать информацию о компьютере и так далее.
Backdoor-компонента червя также может проводить DoS-атаки (Denial of Service) на указанный злоумышленниками компьютер. Таким образом, в случае широкого распространения “Roron” вирусописатели смогут создать сеть зараженных систем и в определенный момент провести массированную распределенную DoS-атаку, аналогичную произошедшей 21 октября, когда нападению подверглись 13 главных серверов Интернет.
“Roron” также может удалить все файлы на всех дисках компьютера. Активизация данной функции происходит в следующих случаях: если текущая системная дата — 9-е или 19-е число любого месяца; удален один из системных файлов червя (“WINFILE.DLL”); удалены ключи авто-запуска червя из системного реестра Windows; случайно, в соответствии с внутренним счетчиком.
Кроме этого, “Roron” ищет активные процессы некоторых антивирусных программ и пытается принудительно завершить их работу. В дополнение червь пытается удалить эти антивирусные программы с диска.
Источник “Лаборатория Касперского”
