"Лаборатория Касперского" сообщила об обнаружении нового сетевого червя Roron, созданного в Болгарии. На данный момент уже обнаружено 6 его разновидностей, вызвавших многочисленные заражения в США и европейских странах.
Roron распространяется по электронной почте в виде прикрепленных файлов, а также через локальные сети и файлообменную систему KaZaA. Заражение системы происходит, только если пользователь самостоятельно запустит файл-носитель червя, полученный из одного из вышеуказанных источников. В некоторых случаях при заражении червь выводит сообщение о якобы ошибке:
WinZip Self-Extractor License Confirmation
Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.
По заявлению "Лаборатории Касперского", Roron обладает арсеналом опасных деструктивных и шпионских функций. Если на зараженном компьютере установлена программа для работы с IRC-каналами (mIRC), то червь внедряет в нее специальные backdoor-процедуры. Кроме того, backdoor-компонента червя может проводить DoS-атаки (Denial of Service) на указанный злоумышленниками компьютер. Таким образом, в случае широкого распространения Roron существует возможность создания сети зараженных систем и проведения в определенный момент массированной DoS-атаки. Roron также может удалить все файлы на всех дисках компьютера. Активизация данной функции происходит в следующих случаях: если текущая системная дата - 9-е или 19-е число любого месяца; удален один из системных файлов червя (WINFILE.DLL); удалены ключи автозапуска червя из системного реестра Windows; случайно, в соответствии с внутренним счетчиком. Кроме этого, Roron ищет активные процессы некоторых антивирусных программ и пытается принудительно завершить их работу. В дополнение червь пытается удалить эти программы с диска, сообщает "Издательский Дом ITC".
