На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2002-11-13 на главную / новости от 2002-11-13
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 13 ноября 2002 г.

Новый вирус Roron опасен и неуловим

6 ноября сразу несколько компаний, занимающихся сетевой безопасностью, в частности “Лаборатория Касперского”, Symantec, McAfee и F-secure, разместили на своих сайтах информацию о новом, весьма опасном вирусе, запущенном в Болгарии и названном Roron.

Ведущие разработчики антивирусных программ уже выпустили противоядия от этого вируса, но вероятность эпидемии остается очень высокой. “Лаборатория Касперского”, присвоившая ему высшую категорию опасности, сообщает об обнаружении шести разновидностей червя, успевших вызвать многочисленные случаи заражения в России, США и ряде европейских стран.

Roron распространяется по нескольким каналам передачи данных: через электронную почту в виде прикрепленных файлов, по ресурсам локальных сетей и файлообменной сети KaZaA. Заражение системы происходит при запуске пользователем файла — носителя червя.

Новый вирус является Windows-приложением, имеет размер около 120 Kб и написан на Microsoft Visual C++. Проникнув в компьютер, Roron копирует себя в каталоги Windows и Program Files, выбирая при этом имя одного из файлов в системном каталоге Windows или имя подкаталога в Program Files.

К имени добавляется окончание 98.exe, 16.exe или 32.exe. Эти файлы затем регистрируются в ключах автозапуска системного реестра “HKLM\...\Run” или в файле WIN.INI в секции [windows] в команде “run=”; таким образом Roron обеспечивает свою активизацию при каждом запуске ОС. Червь также создает в каталоге Windows свой файл данных по имени winfile.dll, куда записывает значения некоторых своих переменных.

После этого Roron приступает к размножению. Его копии также могут быть обнаружены с одним из 15 имен, среди которых, например, Star Craft 2 Trailer.exe, WinZip 8.2 (Cracked).exe, Madonna — My Life (Review).exe, Win XP key gen 2.1B.exe и др.

Для рассылки зараженных сообщений по электронной почте червь использует функции Windows MAPI и отсылает себя по всем адресам, обнаруженным в почтовом ящике. Заголовок и текст письма выбираются из 12 вариантов на английском или болгарском языках, в текст включается имя ехе-файла во вложении. Предлоги для того, чтобы вы открыли файл, самые разные: тест на умственные способности, 30-дневная демоверсия антивируса и пр.

Для распространения по ресурсам локальных сетей Roron ищет сетевые диски, открытые на полный доступ, и копирует себя туда со случайно выбранным именем. Для автозапуска на удаленном компьютере червь создает там файл autorun.inf и записывает в него команду автозапуска “OPEN=”.

Таким способом Roron может записать свои копии на общедоступные серверы, откуда позднее его копии будут загружены и активизированы локальными пользователями.

Чтобы начать путешествие по файлообменной сети KaZaA, червь находит каталог этой системы и записывает в него свою копию, так что другие пользователи KaZaA могут загрузить инфицированный файл и заразить свой компьютер.

Roron обладает арсеналом исключительно опасных деструктивных и шпионских функций. Если на зараженном компьютере установлена программа для работы с IRC-каналами (mIRC), то червь внедряет в нее специальные backdoor-процедуры, позволяющие злоумышленникам незаметно управлять компьютером: принимать, отправлять, запускать файлы, рассылать сообщения, перезагружать компьютер, проводить DoS-атаки на заданный адрес.

Таким образом, во время эпидемии, вызванной этим вирусом, злоумышленники смогут провести массированную распределенную DoS-атаку, аналогичную недавней атаке на 13 главных серверов Интернета.

Время от времени Roron удаляет все файлы со всех дисков компьютера. Это происходит в следующих случаях: если текущая системная дата — 9-е или 19-е число любого месяца, если удален один из системных файлов червя (winfile.dll) или ключи его автозапуска из системного реестра Windows, а также произвольно, в соответствии с внутренним счетчиком.

Кроме этого Roron пытается противодействовать антивирусным программам: он ищет активные процессы по своему списку и пытается принудительно завершить их работу, а также стереть эти антивирусы с диска.

Для того чтобы корректно удалить червя из системы, необходимо с помощью антивирусного сканера определить все его ехе-копии, избавиться от них и только затем удалить файл данных Roron (winfile.dll), ключи реестра и команды в файле win.ini. Если ключи реестра или файл данных Roron удалены, но осталась хоть одна активная копия вируса, то потери всех данных на компьютере избежать будет трудно.

Чем опасен новый вирус

  • Распространяется через e-mail, чаты и локальную сеть

  • Использует разные заголовки

  • С трудом поддается обнаружению

  • Позволяет создателю вируса управлять компьютером дистанционно

  • Форматирует диск 9-го и 19-го числа каждого месяца, а также при попытках лечения

 

← октябрь 2002 6  10  11  12  13  14  15  18  19 декабрь 2002 →
Реклама!
 

 

Место для Вашей рекламы!