Лаборатория Касперского, 6 ноября

"Лаборатория Касперского", ведущий российский разработчик антивирусных систем безопасности, сообщает об обнаружении нового сетевого червя "Roron", созданного в Болгарии. На данный момент уже обнаружено 6 разновидностей червя, которые вызвали многочисленные заражения во многих регионах, включая Россию, США и ряд европейских стран.

Деструктивные процедуры, встроенные backdoor-функции (несанкционированное удаленное управление компьютером), способность к многоканальному распространению - все это позволяют присвоить данному червю высшую категорию опасности.

"Roron" распространяется по нескольких каналам передачи данных: через электронную почту в виде прикрепленных файлов, по ресурсам локальных сетей и файлообменной сети KaZaA. Заражение системы происходит, только если пользователь самостоятельно запустит файл-носитель червя, полученный из одного из вышеуказанных источников. В процессе проникновения на компьютер "Roron" создает свои копии в каталогах Windows и Program Files и регистрирует один из этих файлов в ключе авто-запуска системного реестра. Таким образом, червь обеспечивает свою активизацию при каждом запуске операционной системы. В некоторых случаях при заражении червь выводит сообщение о якобы ошибке:

WinZip Self-Extractor License Confirmation
Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.

После окончания процедуры заражения "Roron" активизирует процесс распространения:
Для рассылки по электронной почте он незаметно для пользователя создает письмо с различными заголовками, текстами и именами вложенных файлов и отсылает его по всем адресам из писем, обнаруженных в почтовом ящике зараженного компьютера;
Для распространения по ресурсам локальных сетей червь ищет сетевые диски, открытые на полный доступ, и копирует себя туда со случайно выбранным именем. Таким образом "Roron" может записать свои копии на общедоступные серверы, откуда позднее копии червя будут загружены и активизированы локальными пользователями;
Для распространения по файлообменной сети KaZaA "Roron" находит каталог этой системы и записывает в него свою копию, так что другие пользователи KaZaA могут загрузить инфицированный файл и заразить свой компьютер.

"Roron" обладает арсеналом исключительно опасных деструктивных и шпионских функций. Если на зараженном компьютере установлена программа для работы с IRC-каналами (mIRC), то червь внедряет в нее специальные backdoor-процедуры. Они позволяют злоумышленникам незаметно управлять компьютером, в том числе принимать, отправлять, запускать файлы, рассылать сообщения, перегружать компьютер, отсылать информацию о компьютере и др. Backdoor-компонента червя также может проводить DoS-атаки (Denial of Service) на указанный злоумышленниками компьютер. Таким образом, в случае широкого распространения "Roron" вирусописатели смогут создать сеть зараженных систем и в определенный момент провести массированную распределенную DoS-атаку, аналогичную произошедшей две недели назад, когда атаке подверглись 13 главных серверов Интернет. "Roron" также может удалить все файлы на всех дисках компьютера. Активизация данной функции происходит в следующих случаях: если текущая системная дата - 9-е или 19-е число любого месяца; удален один из системных файлов червя ("WINFILE.DLL"); удалены ключи авто-запуска червя из системного реестра Windows; случайно, в соответствии с внутренним счетчиком. Кроме этого, "Roron" ищет активные процессы некоторых антивирусных программ и пытается принудительно завершить их работу. В дополнение червь пытается удалить эти антивирусные программы с диска.

Процедуры защиты от "Roron" уже добавлены в базу данных Антивируса Касперского.

Более подробная информация о данной вредоносной программе, а также рекомендации по его удалению доступны в Вирусной энциклопедии Касперского.

I-Worm.Roron.12
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам, по распределенным дискам в сети, по сети обмена файлами KaZaa. Содержит бэкдор-процедуру, базирующуюся на клиенте mIRC.
Червь является приложением Windows (PE EXE-файл), имеет размер около 120K, написан на Microsoft Visual C++.

Инсталляция
При инсталляции червь копирует себя с именем "rundll16.exe" в каталог Windows и регистрирует этот файл в ключах автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run LoadCurrentProfile = Rundll16.exe powprof.dll,LoadCurrentUserProfile
HKCR\exefile\shell\open\command %WinDir%\Rundll16.exe "%1" %*
HKCR\regfile\shell\open\command %WinDir%\Rundll16.exe regedit.exe "%1"

Червь также копирует себя в системный каталог Windows и в каталог "Program Files". При этом выбивает случайное имя - имя одного из файлов в системном каталоге Windows или имя подкаталога в "Program Files". К этому имени добавляется одна из случайно выбранных строк:
98.exe
16.exe
32.exe

Например, червь копирует себя в следующие файлы:
Program Files\Online Services\Online Service16.exe (имя файла выбрано по имени подкаталога)
Windows\System\browseui16.exe (имя файла выбрано по имени файла "browseui.dll")
Эти файлы затем регистрируются в ключе реестра "HKLM\...\Run" или в файле WIN.INI в секции [windows] в команде "run=".

В некоторых случаях червь затем выводит сообщение о якобы ошибке:
WinZip Self-Extractor License Confirmation
Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.
Червь также создает в каталоге Windows свой файл данных, в который записывает значения некоторых своих переменных. Имя файла - "winfile.dll".

Копии червя также могут быть обнаружены с именами:
Zip Password Recovery v4.5.exe
Star Craft 2 Trailer.exe
WWF!!_The_ROCK(sHOw).exe
cRedit CarDs gEn v1.2.exe
WinZip 8.2 (Cracked).exe
GTA 3 Bonus Cars.exe
Eminem Desktop.exe
DMX tHeMe (full).exe
NFS 5 Bonus Cars.exe
Counter Strike 1.5 (Editor).exe
Madonna - My Life (Review).exe
DivX 5.4 Bundle.exe
KaZaA Media Desktop v1.8.3.exe
Win XP key gen 2.1B.exe
Serials 2002 Update.exe
Данный список ниже упоминается как "список имен".

Зараженные письма

Зараженные письма содержат различные Заголовки, Тексты и Имена вложений (см. ниже).

Червь активизируется, только если пользователь сам запускает зараженный файл (двойным щелчком на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Для рассылки зараженных сообщений червь использует функции Windows MAPI и отсылает себя по всем адресам, обнаруженным в письмах в почтовом ящике.

Имена вложений выбираются из вариантов:
Star Craft 2 Trailer.exe
WWF_The_ROCK(sHOw).exe
Sound Factory SFX.exe
Eminem Desktop.exe
DMX tHeMe (full).exe
Love Zodiak.exe
[TNT]GeN.exe
Worm Guard.exe
mTV Charts.exe
Setup.exe
mTV Charts.exe
Заголовок/Текст выбирается из вариантов, приведенных ниже (сочетание %s обозначает, что в данном месте присутствует имя EXE-файла во вложении):
Zdrasti..
Hey, kak varvi, neshto novo ima li :) Adski mi sa spi, daje ei sq smqtam da si legna ama purvo shte si vzema edin dush :)) Skoro shti pratq onva deto obeshtah, za sq mojesh da hvarlish edno oko na %s - ako imash nqkvi predlojeniq, komentari ili kakvoto i da e pishi mi :)) Aide doskoro i umnata ~pPp
Ohoo!!

Zdravei, zdrasti, dai pari za pasti :)) Ko praish? Za teb neznam ama v momenta se chustvam mnoo qko i reshih da ti pisha :) Kolko ti e rekorda na minichkite? Toku shto na Expert razminirah za 2 minuti :))) Ei sq smqtam da si vzema nqkoi qk film i da gledam. Hodil li si na %s - Mnoo me kefi :)) Za drugo ne se seshtam tai che chao za sega :))
Ei dupe :)
Zdrasti :)) Nqma da povqrvash kakvo mi se sluchi neska :) Vidqh Slavi Trifonov i nqkvi mnoo qki madami s nego :))) Ko shi kaish a? Misleh da mu iskam avtograf ama me dosramq :(( Karai, drug pat ~pP. Begai na %s :) Malko e stranen, no ne e losh. Hmm, ti ko praish? Pishi mi :) Chao
Liubofta e kato Rai, no moje da boli kato Ad
Zdr, izpratih na vsichki edna programka, mnoo qka, btw to imeto si pokazva. Subject-a e ot tam i ima i drugi mnogo qki misli. Moje da pokaje nai-podhodqshtiq partnior v liubofta :)) Ujasno e kak liubofta moje da ubie vsichko v teb.. Za shtastie ne vinagi e taka :) Inache nishto novo, karam q nqkak.. Sega trqbva da izlizq za malko tai che bye :))
ZzZz :)
Zdrasti, kak q karash :) az sam dobre, makar che naposledak imam malko problemi. Tvarde nogo mi se strupa navednaj, udarih si rakata ei sq i mnogo me boli.. Kakvo da se pravi, takav e jivota.. Vchera namerih nqkav generator na kreditni karti i mai bachka, samo edin put go probvah ama stana, vij dali pri teb sha raboti i umnata :) Ai doskoro :)) Chao ti
Vajno!!
Ima nov opasen virus v neta! Razprostranqva se predimno po IRC i ICQ. Vnimavai da ne se zarazish, zashtoto iztriva Mp3-ki, Filmi i Dokumenti. Izpratih ti patch, koito shte te paziot zarazqvane. Iskah da napisha po-dulgo pismo, no nqmah vreme, sorka.. Naposledak imam adski mnogo rabota nalqvo nadqsno :)) Inache kak varvi? Chao i watch out :)))
Bla Bla :)

Hi, kak e :) ko si praikash? az si slusham muzichka - ATC i Mortal Kombat Soundtrack - Varhovni sa, napravo izbuhnah :))) Drapnah si gi ot neta s taq programka - ima 200 kubriliona klasacii :) Naposledak muzikata e edno ot malkoto mi udovolstviq P.S. Obezatelno si drapni ATC - Why oh why.mp3 :))
Chao, doskoro!!

HeY..
HeY.. Buddz what"z up :) How are you? I"m fine, 10x!! My friend Nina is here and we are.. You know :) Lalala !! Be happy, don"t worry ~pPp. Btw check this site - %s, it"s fresh :)) I"m a little drunk and i"ve gotta go now !! Wish me luck :)) Cya
ZzZz :)

Hi buddy, what"s up :)) I"ve only wanted to remind you not to forget about our little, dirty secret :) And don"t tell anybody :Ppp. Have you seen this site - %s c00l :) Leave this away, how are you? Send me sth cool, plzz:) bye! :)
BlaBla

Hey :) Wasupp ~Pp I wanted to write you a letter, but i didn"t know what to talk about actually :) Have you ever done an IQ test, i"ve just scored 120 points :) I"m not sure if this is good or bad, who cares :) Have you visited %s :) Finally, how are you:) i"ll be very happy if you send me 1,2 funny cards :)))) bye! :)
Be careful

There is a new, dangerous virus in the net. It"s called Roro and it"s using IRC to infect computers. The virus deletes movies, music and system files. To prevent from infecting, install McAfee Anti-Script 2002. It"s a 30-days demo.. So, how are you? Good, Bad? I"m oK. I wanted to write you a longer letter, but i didn"t have enough time.. sorry. Bye
yoOo ;)

YoOo :)) What a nice day, what a nice time :) What a nice world :)) Do you have Blade 2? I"ve just watched it twice, it"s marvellous! lol ~pPp Do you have any ATC"s mp3z? CooL :))) I"ve found them with this program, it"s like Napster, but it"s legal :)) P.S. Download ATC - Why oh why.mp3 !!! Bye ~~~~ppPpP ;)
Wow..

Hello :>> How are you? What"re you doing :) Do you have Blade 2? I"ve just watched it twice, it"s marvellous! You can"t guess what I"ve found.. A working Credit Card generator :))) I purchased a bride from Russia yesterday :) LoL.. I gave a fake address of course :))) Promise me not to send it to anybody! Don"t go too far and watch out :)) Bye..
Hi!!

Hey you!! Wasssssssuppppppp :)))) Where are you? What are you doing? I"ve just got high in the sky, my oh my :)) It"s like I don"t care about nothing man :)) sMiLe :oP~pPPPpp I send you a sexy, little thing :)) Everything is just an illusion. Believe me.. It"s time to say goodbye now.. See you

Заражение сети

Червь ищет сетевые диски, открытые на полный доступ, и копирует себя туда со случайно выбранным именем из "списка имен" (см. выше). Для автозапуска на удаленном компьютере червь создает там файл "autorun.inf" и записывает в него команду автозапуска "OPEN=".

Червь ищет сетевые диски двумя способами:
перебирает все логические диски (помеченные буквами) и выбирает из них все сетевые диски.
перебирает все сетевые ресурсы, при этом использует специальные функции Windows API.

Заражение KaZaa

Червь ищет каталог обмана файлами KaZaa и копирует себя туда со случайно выбранным именем из "списка имен" (см. выше).

IRC-бекдор

Червь ищет клиента mIRC и, если таковой обнаружен, внедряет в него свой INI-файл, который и содержит бекдор-процедуры. Имя INI-файла случайно выбирается из вариантов:
alias.ini
server.ini
notes.ini
popup.ini

Бекдор-файл соединяется с одним из IRC-каналов и позволяет удаленному "хозяину" выполнять следующие действия:
принимать/отправлять/запускать файлы, рассылать сообщения, перезапускать компьютер, отсылать информацию о компьютере и т.п.

Проявление

Червь удаляет все файлы на всех дисках компьютера при любом из условий:
текущая дата 9-е или 19-е число любого месяца
файл данных червя "winfile.dll" удален из каталога Windows
из системного реестра удалены "червивые" ключи Run=
в зависимости от своего случайного счетчика.

Прочее

Червь ищет активные процессы (задачи), которые содержат строки из списка ниже, и пытается принудительно завершить их работу: black,panda,shield,guard,scan,mcafee,nai_vs_stat,iomon, navap,avp,alarm,f-prot,secure,labs,antivir,zone, virus,worm,antivir,f-secure,f-prot,kaspers

По тем же строкам червь ищет файлы на диске и уничтожает их. Таким образом, червь пытается противодействовать антивирусным программам.

Удаление

Для того чтобы корректно удалить червя из системы, необходимо при помощи антивирусного сканера определить все EXE-копии червя, удалить их, и только затем удалить файл данных червя (winfile.dll), ключи реестра и команды в файле WIN.INI (см. выше).

ВНИМАНИЕ: если ключи реестра или файл данных червя удалены, но осталась хоть одна активная копия червя, то это может привести к потере всех данных на компьютере.

-----

Ваш "мобильник" в порядке. Не верьте вирусным мистификациям
Лаборатория Касперского, 6 ноября

"Лаборатория Касперского" сообщает, что среди пользователей Интернет распространяются слухи о появлении нового компьютерного вируса, который заражает мобильные телефоны и приводит его в полную негодность. Рассылаемые сообщения выглядят следующим образом:

Русский вариант:
Если вам позвонили и на дисплее вашего мобильного телефона высвечивается АСЕ-? , не отвечайте на этот звонок, сразу прекратите. Если вы ответите на звонок, то ваш телефон будет заражен этим вирусом. Вирус сотрет всю информацию IMEI и IMSI с вашего телефона и с вашей SIM карточки, что сделает ваш телефон неспособным связываться с телефонной сетью. Вам придется покупать новый телефон. Эту информацию подтвердили фирмы Моторола и Нокиа. Уже 3 миллиона мобильных телефонов заражены этим вирусом в США. Эти сведения вы также можете проверить на сайте СNN. Пожалуйста, сообщите эту информацию всем друзьям.

Английский вариант:
If you receive a phone call and your mobile phone displays ACE-? on the screen DON"T ANSWER THIS CALL - END THE CALL IMMEDIATELY. IF YOU ANSWER THE CALL, YOUR PHONE WILL BE INFECTED BY THIS VIRUS. This virus will erase all IMEI and IMSI information from both your phone and your SIM card, which will make your phone unable to connect with the telephone network. You will have to buy a new phone. This information has been confirmed by both Motorola and Nokia. There are over 3 million mobile phones being infected by this virus in USA now. You can also check this news in the CNN web site. Please forward this piece of information to all your friends.

"Лаборатория Касперского" заявляет, что сведений о существовании такого вируса нет, и классифицирует подобные слухи как вирусную мистификацию, не имеющую ничего общего с реальностью. Мы рекомендуем пользователям воздержаться от распространения сообщений такого рода и поставить об этом в известность своих знакомых и коллег, поверивших в несуществующий вирус.

Более подробная информация о вирусных мистификациях - в Вирусной Энциклопедии Касперского по адресу: http://www.viruslist.com/viruslist.asp?id=15&key=0000100015&mode=1.