Новая модификация в семействе Oror - Win32.HLLM.RoRo.41
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" предупреждает пользователей о появлении новой разновидности уже известного почтового червя семейства Oror (согласно классификации других антивирусных компаний - W32/Oror или Roron). Первые экземпляры вируса появились в начале ноября 2002 года их источник находился где в странах Восточной Европы. Предположительно, новая модификация червя происходит из Болгарии.
Нынешний вариант во многом идентичен своему предшественнику.
Win32.HLLM.RoRo.41 - вирусная программа-червь. Поражает компьютеры под управлением операционных систем Windows 95/98/ME/NT/2000/XP.
Для распространения использует свою собственную реализацию протокола SMTP, рассылая свои вирусные копи по адресам, содержащимся во входящих сообщениях почтового клиента инфицированного компьютера. Информацию о сервере SMTP зараженной системы червь получает из реестровой записи
Зараженные письма, рассылаемые данным червем, используют уязвимость, связанную с некорректной обработкой MIME-заголовков, которая позволяет вложенному в письмо программному файлу (с вирусом) автоматически запускаться при простом просмотре почты в таких клиентах, как MS Outlook и MS Outlook Express.
Будучи активированным, червь демонстрирует на экране дисплея ложное диалоговое окно следующего содержания:
После того, как изумленный пользователь прочитает текст, который гласит, что ему следует обновить версию его операционной системы, и щелкнет на мышью на кнопке "ОК", червь начнет заражение компьютера. Прежде всего, червь помещает свои многочисленные копии в несколько каталогов операционной системы, включая системный каталог Windows. Имя файла, которое формирует червь, состоит из символов "dx", затем случайных алфавитно-цифровых символов с добавлением в конце чисел 2,16 или 32. Затем червем создается несколько записей в системном реестре для обеспечения собственного запуска при последующем старте системы. К их числу можно отнести следующие:
LoadProfile="название копии червя.exe powprof.dll,LoadCurrentUserProfile"
HKEY_CLASSES_ROOT\exefile\shell\open\command\ =
C:\WINDOWS\SYSTEM\название копии червя.exe "%1" %*
Наличие в реестре последней записи позволет червю запускаться каждый раз, когда запускается любой исполняемый файл.
В теле червя хранится большое количество различных вариантов писем, которые червь рассылает с зараженного компьютера. В том числе, такое:
McAfee Antivirus warns about a new virus, called W32.Roro@mm. It is a high risk worm and it's using IRC and internet pages to infect computers. The virus deletes movies, music and system files. Due to the significant increase of infected users, Microsoft Corporation, with the collaboration of McAfee Antivirus, supports clients of Microsoft Windows with a patch, which fixes a bug in Internet Explorer 5.5 or minor versions. This bug allows internet pages to grant access to local resources of visitors. ----------------- McAfee Antivirus www.McAfee.comДанное письмо призывает пользователя установить у себя на компьютере патч, защищающий от опасного вируса W32.Roro@mm. Введенный в заблуждение пользователь может таким образом запустить на компьютере вирусную программу.
Начиная с 3 декабря, антивирус Dr.Web® обнаруживает и обезвреживает Win32.HLLM.RoRo.41. Кроме того, описание вируса дано таким образом, чтобы в дальнейшем обнаруживать и все последующие его модификации.