|
Новый опасный вирус удаляет информацию и открывает доступ хакерам
"Лаборатория Касперского" сообщает о новом крайне опасном вирусе Roron, известном также под названием W32.Oron. По информации "Лаборатории", родиной вируса является Болгария, а число его разновидностей достигает на настоящий момент шести. Большое количество зараженных компьютеров уже обнаружено в России, США и некоторых странах Европы. Для распространения Roron использует электронную почту, пиринговую сеть KaZaA и чаты IRC. Кроме этого, вирус может передаваться и по локальной компьютерной сети.
Активация вируса происходит только, если пользователь пораженного компьютера сам запустит его исполняемый файл. В процессе установки Roron размещает свои копии в каталогах Windows и Program Files и регистрирует один из этих файлов в ключе автозапуска системного реестра, с тем чтобы обеспечить свою загрузку при каждом запуске операционной системы. Для распространения своих копий вирус рассылает электронные письма с различными заголовками, текстом и собственными копиями под различными именами. Для распространения по локальным сетям червь ищет сетевые диски и папки, к которым открыт полный доступ, и записывает туда свои копии со случайно выбранными именами. Аналогично происходит заражение через сеть KaZaA - вирус размещает свою копию в папке My Shared Folder, в которой располагаются файлы для обмена.
Roron располагает обширным арсеналом шпионских и деструктивных функций. Например, если на зараженном компьютере установлен клиент для работы с чатами IRC, то червь внедряет в нее специальные процедуры, обеспечивающие злоумышленника "черным ходом" в систему. В результате, хакеры получают возможность незаметно управлять компьютером, в том числе, принимать, отправлять, запускать любые файлы, рассылать электронные письма, перезагружать компьютер, отсылать информацию о компьютере и т. д. Данный компонент червя также может проводить распределенные DoS-атаки на указанный злоумышленниками компьютер.
Деструктивные функции, заложенные в Roron, могут привести к уничтожению файлов на всех жестких дисках компьютера. Это происходит в одном из следующих случаев:
- текущая системная дата - девятое или девятнадцатое число любого месяца;
- удален один из системных файлов червя с именем winfile.dll;
- удалены ключи автозапуска червя из системного реестра Windows;
случайно, в соответствии с внутренним счетчиком вируса
Кроме этого, вирус ведет поиск активных процессов многих антивирусных программ, пытается принудительно завершить их работу и удалить эти антивирусные программы с диска.Обсудить Главная | Библиотека | Статьи | Форум
Ссылки | Команда | Контакты
Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.org обязательна.
