7 ноября 2002 г.

Компания "Лаборатория Касперского" сообщила об очень опасном черве Roron, вызвавшем эпидемические вспышки в России, Соединенных Штатах Америки и Европе.

    По заявлению "Лаборатории Касперского", Roron создан в Болгарии. Специалисты компании присвоили этому червю высшую категорию опасности, поскольку он имеет серьезный разрушительный потенциал, способен распространяться сразу по нескольким каналам и дает хакерам возможность удаленного управления инфицированными компьютерами (функция backdoor).

    Roron распространяется по электронной почте в письме с вложенной Windows-программой размером около 120 Кб, через локальные сети, а также по файлообменной сети KaZaA. Процесс заражения начинается, если пользователь самостоятельно запустил файл, полученный по одному из вышеуказанных каналов. Roron копирует себя в каталоги Windows и Program Files и изменяет системный реестр так, чтобы активироваться при каждом запуске операционной системы. Иногда червь выводит следующее сообщение:

    WinZip Self-Extractor License Confirmation

    Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.

    Затем Roron начинает процедуру распространения. Он отсылает письмо с различными текстами, заголовками и именами вложенных файлов по всем адресам, указанным в письмах папки "Входящие". По локальной сети Roron распространяется в виде файлов со случайно выбранным именем через папки, открытые для полного доступа. Roron находит также каталог файлообменной сети KaZaA и записывает в него свою копию.

    Арсенал опасных функций Roron весьма богат. Червь внедряет в систему с установленным IRC-клиентом процедуры удаленного управления, позволяющие выполнять операции с файлами, рассылать сообщения, перегружать компьютер и т. д. Roron также "зомбирует" компьютер, делая его стартовой площадкой для запуска DoS-атак.

    Кроме того, червь может удалить все файлы на всех дисках компьютера в следующих случаях:
√ текущая системная дата √ 9 или 19 число любого месяца;
√ удален один из системных файлов червя;
√ удалены ключи автозапуска червя из системного реестра Windows;
√ случайно, в соответствии с внутренним счетчиком.

    Roron также пытается принудительно завершить работу некоторых антивирусных программ и удалить их с диска. Ведущие антивирусные компании уже обновили базы данных своих пакетов для защиты от нового червя.