Roron обладает арсеналом исключительно опасных деструктивных и шпионских функций. Если на зараженном компьютере установлена программа для работы с IRC-каналами (mIRC), "червь" внедряет в нее специальные backdoor-процедуры. Они позволяют злоумышленникам незаметно управлять компьютером, в том числе принимать, отправлять, запускать файлы, рассылать сообщения, перегружать компьютер, отсылать информацию о нем и т. д. Backdoor-компонент "червя" также может проводить DoS-атаки (Denial of Service) на указанный злоумышленниками компьютер. Таким образом, в случае широкого распространения Roron вирусописатели смогут создать сеть зараженных систем и в определенный момент провести массированную распределенную DoS-атаку, аналогичную произошедшей две недели назад, когда атаке подверглись 13 главных серверов Internet. Roron также может удалить все файлы на всех дисках компьютера. Активизация данной функции происходит, если текущая системная дата - 9-е или 19-е число любого месяца, если удален один из системных файлов "червя" (WINFILE.DLL), если удалены ключи автозапуска червя из системного реестра Windows, или же случайно, в соответствии с внутренним счетчиком. Roron распространяется по нескольким каналам передачи данных: через электронную почту в виде прикрепленных файлов, по ресурсам локальных сетей и файлообменной сети KaZaA. Заражение системы происходит только в том случае, если пользователь самостоятельно запустит файл - носитель "червя". В процессе проникновения на компьютер Roron создает свои копии в каталогах Windows и Program Files и регистрирует один из этих файлов в ключе автозапуска системного реестра. Таким образом, "червь" обеспечивает свою активизацию при каждом запуске операционной системы. В некоторых случаях при заражении "червь" выводит сообщение о якобы произошедшей ошибке следующего содержания: "Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information". Для рассылки по электронной почте Roron незаметно для пользователя создает письмо с различными заголовками, текстами и именами вложенных файлов и отсылает его по всем адресам из писем, обнаруженных в почтовом ящике зараженного компьютера. Для распространения по ресурсам локальных сетей "червь" ищет сетевые диски, открытые на полный доступ, и копирует себя туда со случайно выбранным именем. Таким образом, Roron может записать свои копии на общедоступные серверы, откуда позднее они будут загружены и активизированы локальными пользователями. Для распространения по файлообменной сети KaZaA вирус находит каталог этой системы и записывает в него свою копию, так что другие пользователи KaZaA могут загрузить инфицированный файл и заразить свой компьютер. Процедуры защиты от Roron уже добавлены в базу данных Антивируса Касперского.

Поделитесь материалом с коллегами и друзьями