Лаборатория Касперского сообщает о появлении в сети Болгарского сетевого червя
Roron распространяется через электронную почту, по локальной сети и через файлообменную сеть KaZaA.
Если он поступает, в качестве вложения в электронное письмо, то активизировать его можно, только запустив файл-носитель червя. Далее вирус записывает себя в директорию Windows и Program Files и регистрируется в ключе авто-запуска системного реестра. Во время запуска червь иногда выдает сообщение об ошибке в программе WinZip.
Распространяется Roron классическим способом - отсылает собственные копии по адресам, взятым из списка в почтовой программе. Кроме того, он записывает себя на общедоступные сетевые диски, а также в каталог файлообменной сети KaZaA, откуда его могут скачать другие пользователи.
Если на зараженном компьютере установлена программа для работы с IRC-каналами (mIRC), то Roron записывает в нее специальные backdoor-процедуры. Если это произойдет, то зараженным компьютером станет можно управлять удаленно.
Эта функция позволит злоумышленникам создать сеть зараженных компьютеров и в дальнейшем проводить массированные DoS-атаки.
Roron также может удалить все файлы на всех дисках компьютера. Это может произойти 9 и 19 числа любого месяца, а также, если будет удален один из системных файлов червя - winfile.dll, или если удалить ключи авто-запуска червя из системного реестра Windows.
Червь атакует антивирусные программы, установленные на компьютере. Он пытается стереть их или прервать их выполнение.
Процедуры защиты от "Roron" уже добавлены в базу данных Антивируса Касперского.