Новая модификация в семействе Oror - Win32.HLLM.RoRo.41

[04.12.2002]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" предупреждает пользователей о появлении новой разновидности уже известного почтового червя семейства Oror (согласно классификации других антивирусных компаний - W32/Oror или Roron). Первые экземпляры вируса появились в начале ноября 2002 года их источник находился где в странах Восточной Европы. Предположительно, новая модификация червя происходит из Болгарии.

Нынешний вариант во многом идентичен своему предшественнику.
Win32.HLLM.RoRo.41 - вирусная программа-червь. Поражает компьютеры под управлением операционных систем Windows 95/98/ME/NT/2000/XP.

Для распространения использует свою собственную реализацию протокола SMTP, рассылая свои вирусные копи по адресам, содержащимся во входящих сообщениях почтового клиента инфицированного компьютера. Информацию о сервере SMTP зараженной системы червь получает из реестровой записи

HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\

Зараженные письма, рассылаемые данным червем, используют уязвимость, связанную с некорректной обработкой MIME-заголовков, которая позволяет вложенному в письмо программному файлу (с вирусом) автоматически запускаться при простом просмотре почты в таких клиентах, как MS Outlook и MS Outlook Express.

ЗАО "ДиалогНаука" настоятельно рекомендует установить у себя все обновления и патчи, публикуемые фирмой Microsoft! В случае, если у вас установлены указанные патчи, инфицирование компьютера возможно только в случае сознательного запуска пользователем приложения с вирусным кодом.

Будучи активированным, червь демонстрирует на экране дисплея ложное диалоговое окно следующего содержания:

После того, как изумленный пользователь прочитает текст, который гласит, что ему следует обновить версию его операционной системы, и щелкнет на мышью на кнопке "ОК", червь начнет заражение компьютера. Прежде всего, червь помещает свои многочисленные копии в несколько каталогов операционной системы, включая системный каталог Windows. Имя файла, которое формирует червь, состоит из символов "dx", затем случайных алфавитно-цифровых символов с добавлением в конце чисел 2,16 или 32. Затем червем создается несколько записей в системном реестре для обеспечения собственного запуска при последующем старте системы. К их числу можно отнести следующие:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
LoadProfile="название копии червя.exe powprof.dll,LoadCurrentUserProfile"

HKEY_CLASSES_ROOT\exefile\shell\open\command\ =
C:\WINDOWS\SYSTEM\название копии червя.exe "%1" %*
Наличие в реестре последней записи позволет червю запускаться каждый раз, когда запускается любой исполняемый файл. Также червь модифицирует строку запуска секции [windows] файла WIN.INI таким образом, чтобы копия червя запускалась при каждой перезагрузке Windows.

В теле червя хранится большое количество различных вариантов писем, которые червь рассылает с зараженного компьютера. В том числе, такое:

McAfee Antivirus warns about a new virus, called W32.Roro@mm.
It is a high risk worm and it's using IRC and internet pages
to infect computers. The virus deletes movies, music and
system files.

Due to the significant increase of infected users,
Microsoft Corporation, with the collaboration of
McAfee Antivirus, supports clients of Microsoft Windows
with a patch, which fixes a bug in Internet Explorer 5.5
or minor versions. This bug allows internet pages
to grant access to local resources of visitors.


-----------------
McAfee Antivirus
www.McAfee.com

Данное письмо призывает пользователя установить у себя на компьютере патч, защищающий от опасного вируса W32.Roro@mm. Введенный в заблуждение пользователь может таким образом запустить на компьютере вирусную программу.

Начиная с 3 декабря, антивирус Dr.Web^® обнаруживает и обезвреживает Win32.HLLM.RoRo.41. Кроме того, описание вируса дано таким образом, чтобы в дальнейшем обнаруживать и все последующие его модификации.