Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Roron.12 - usuwa wszystkie pliki zapisane na dyskach

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanej wiadomości e-mail oraz przy użyciu współdzielonych folderów programu KaZaA. Szkodnik ma postać pliku PE EXE o rozmiarze 120 KB i został stworzony przy pomocy środowiska programistycznego Microsoft Visual C++. Dodatkowo w kodzie wirusa znajduje się backdoor korzystający z kanałów IRC.

Instalacja

Podczas instalacji robak kopiuje się do folderu Windows z nazwą "rundll16.exe" i tworzy dla tej kopii klucze auto-run w rejestrze systemowym:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LoadCurrentProfile = Rundll16.exe powprof.dll,LoadCurrentUserProfile

HKCR\exefile\shell\open\command
%WinDir%\Rundll16.exe "%1" %*

HKCR\regfile\shell\open\command
%WinDir%\Rundll16.exe regedit.exe "%1"

Dodatkowo robak kopiuje się do folderu systemowego Windows oraz "Program Files". Nazwy kopii są pobierane z losowych plików lub katalogów zapisanych na komputerze "ofiary", a następnie dodawane jest do nich jedno z rozszerzeń: 98.exe, 16.exe lub 32.exe.

Kopie te również są rejestrowane za pomocą kluczy auto-run (HKLM\...\Run= ...) i/lub w sekcji [windows] pliku WIN.INI.

Robak może wyświetlać fałszywy komunikat:

WinZip Self-Extractor License Confirmation

Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.

Szkodnik tworzy w folderze Windows na własne potrzeby plik "winfile.dll".

Kopie robaka mogą również posiadać następujące nazwy:

Zip Password Recovery v4.5.exe, Star Craft 2 Trailer.exe, WWF!!_The_ROCK(sHOw).exe, cRedit CarDs gEn v1.2.exe, WinZip 8.2 (Cracked).exe, GTA 3 Bonus Cars.exe, Eminem Desktop.exe, DMX tHeMe (full).exe, NFS 5 Bonus Cars.exe, Counter Strike 1.5 (Editor).exe, Madonna - My Life (Review).exe, DivX 5.4 Bundle.exe, KaZaA Media Desktop v1.8.3.exe, Win XP key gen 2.1B.exe, Serials 2002 Update.exe

Wiadomości e-mail

Zainfekowane wiadomości mogą posiadać różne tematy, treści oraz nazwy załączników (patrz poniżej).

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załączony do niej plik. Następnie szkodnik instaluje się w systemie i uruchamia procedurę rozprzestrzeniającą oraz funkcje dodatkowe.

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje funkcje MAPI systemu Windows. Adresy "ofiar" są pobierane z wiadomości e-mail zapisanych w skrzynkach pocztowych.

Nazwa pliku załączanego do wiadomości jest wybierana spośród następujących możliwości:

Star Craft 2 Trailer.exe, WWF_The_ROCK(sHOw).exe, Sound Factory SFX.exe, Eminem Desktop.exe, DMX tHeMe (full).exe, Love Zodiak.exe, [TNT]GeN.exe, Worm Guard.exe, mTV Charts.exe, Setup.exe, mTV Charts.exe

Temat oraz treść wiadomości wybierane są spośród poniższych możliwości (%s oznacza jedną z powyższych nazw plików):

Zdrasti..

Hey, kak varvi, neshto novo ima li :) Adski mi sa spi, daje ei sq smqtam da si legna ama purvo shte si vzema edin dush :)) Skoro shti pratq onva deto obeshtah, za sq mojesh da hvarlish edno oko na %s - ako imash nqkvi predlojeniq, komentari ili kakvoto i da e pishi mi :)) Aide doskoro i umnata ~pPp

Ohoo!!

Zdravei, zdrasti, dai pari za pasti :)) Ko praish? Za teb neznam ama v momenta se chustvam mnoo qko i reshih da ti pisha :) Kolko ti e rekorda na minichkite? Toku shto na Expert razminirah za 2 minuti :))) Ei sq smqtam da si vzema nqkoi qk film i da gledam. Hodil li si na %s - Mnoo me kefi :)) Za drugo ne se seshtam tai che chao za sega :))

Ei dupe :)

Zdrasti :)) Nqma da povqrvash kakvo mi se sluchi neska :) Vidqh Slavi Trifonov i nqkvi mnoo qki madami s nego :))) Ko shi kaish a? Misleh da mu iskam avtograf ama me dosramq :(( Karai, drug pat ~pP. Begai na %s :) Malko e stranen, no ne e losh. Hmm, ti ko praish? Pishi mi :) Chao

Liubofta e kato Rai, no moje da boli kato Ad

Zdr, izpratih na vsichki edna programka, mnoo qka, btw to imeto si pokazva. Subject-a e ot tam i ima i drugi mnogo qki misli. Moje da pokaje nai-podhodqshtiq partnior v liubofta :)) Ujasno e kak liubofta moje da ubie vsichko v teb.. Za shtastie ne vinagi e taka :) Inache nishto novo, karam q nqkak.. Sega trqbva da izlizq za malko tai che bye :))

ZzZz :)

Zdrasti, kak q karash :) az sam dobre, makar che naposledak imam malko problemi. Tvarde mnogo mi se strupa navednaj, udarih si rakata ei sq i mnogo me boli.. Kakvo da se pravi, takav e jivota.. Vchera namerih nqkav generator na kreditni karti i mai bachka, samo edin put go probvah ama stana, vij dali pri teb sha raboti i umnata :) Ai doskoro :)) Chao ti

Vajno!!

Ima nov opasen virus v neta! Razprostranqva se predimno po IRC i ICQ. Vnimavai da ne se zarazish, zashtoto iztriva Mp3-ki, Filmi i Dokumenti. Izpratih ti patch, koito shte te paziot zarazqvane. Iskah da napisha po-dulgo pismo, no nqmah vreme, sorka.. Naposledak imam adski mnogo rabota nalqvo nadqsno :)) Inache kak varvi? Chao i watch out :)))

Bla Bla :)

Hi, kak e :) ko si praikash? az si slusham muzichka - ATC i Mortal Kombat Soundtrack - Varhovni sa, napravo izbuhnah :))) Drapnah si gi ot neta s taq programka - ima 200 kubriliona klasacii :) Naposledak muzikata e edno ot malkoto mi udovolstviq P.S. Obezatelno si drapni ATC - Why oh why.mp3 :)) Chao, doskoro!!

HeY..

HeY.. Buddz what'z up :) How are you? I'm fine, 10x!! My friend Nina is here and we are.. You know :) Lalala !! Be happy, don't worry ~pPp. Btw check this site - %s, it's fresh :)) I'm a little drunk and i've gotta go now !! Wish me luck :)) Cya

ZzZz :)

Hi buddy, what's up :)) I've only wanted to remind you not to forget about our little, dirty secret :) And don't tell anybody :Ppp. Have you seen this site - %s c00l :) Leave this away, how are you? Send me sth cool, plzz:) bye! :)

BlaBla

Hey :) Wasupp ~Pp I wanted to write you a letter, but i didn't know what to talk about actually :) Have you ever done an IQ test, i've just scored 120 points :) I'm not sure if this is good or bad, who cares :) Have you visited %s :) Finally, how are you:) i'll be very happy if you send me 1,2 funny cards :)))) bye! :)

Be careful

There is a new, dangerous virus in the net. It's called Roro and it's using IRC to infect computers. The virus deletes movies, music and system files. To prevent from infecting, install McAfee Anti-Script 2002. It's a 30-days demo.. So, how are you? Good, Bad? I'm oK. I wanted to write you a longer letter, but i didn't have enough time.. sorry. Bye

yoOo ;)

YoOo :)) What a nice day, what a nice time :) What a nice world :)) Do you have Blade 2? I've just watched it twice, it's marvellous! lol ~pPp Do you have any ATC's mp3z? CooL :))) I've found them with this program, it's like Napster, but it's legal :)) P.S. Download ATC - Why oh why.mp3 !!! Bye ~~~~ppPpP ;)

Wow..

Hello :>> How are you? What're you doing :) Do you have Blade 2? I've just watched it twice, it's marvellous! You can't guess what I've found.. A working Credit Card generator :))) I purchased a bride from Russia yesterday :) LoL.. I gave a fake address of course :))) Promise me not to send it to anybody! Don't go too far and watch out :)) Bye..

Hi!!

Hey you!! Wasssssssuppppppp :)))) Where are you? What are you doing? I've just got high in the sky, my oh my :)) It's like I don't care about nothing man :)) sMiLe :oP~pPPPpp I send you a sexy, little thing :)) Everything is just an illusion. Believe me.. It's time to say goodbye now.. See you

Infekowanie sieci

Robak kopiuje się na zdalne napędy korzystając z nazw wymienionych powyżej. Szkodnik może umieścić swoją kopię tylko wtedy, gdy zasób jest udostępniony w sieci z pełnym dostępem.

Wyszukiwanie zasobów sieciowych jest przeprowadzane na dwa sposoby:

  1. Robak przegląda wszystkie napędy logiczne (od C: do Z:), sprawdza ich typ i infekuje w przypadku wykrycia napędu sieciowego.
  2. Szkodnik określa i infekuje zasoby sieciowe przy użyciu funkcji API systemu Windows.

Aby zapewnić uruchomienie swojej kopii po restarcie systemu, robak dopisuje odpowiednią komendę do pliku "autorun.inf".

Infekowanie systemu KaZaA

Szkodnik kopiuje się do współdzielonego folderu systemu KaZaA korzystając z wymienionych powyżej nazw plików.

Backdoor IRC

Robak szuka plików klienta mIRC i dodaje do nich nowy plik INI, którego nazwa wybierana jest spośród następujących możliwości: alias.ini, server.ini, notes.ini, popup.ini.

Utworzony plik jest w rzeczywistości backdoorem, który poprzez połączenie z kanałami IRC umożliwia hakerowi kontrolowanie zainfekowanej maszyny: wysyłanie/odbieranie/uruchamianie plików, wysyłanie spamu, restartowanie komputera, wysyłanie informacji o komputerze itd..

Funkcje dodatkowe

Robak usuwa wszystkie pliki zapisane na wszystkich, lokalnych napędach w następujących przypadkach:

  • jeżeli bieżąca dzień miesiąca to 9 lub 19,
  • jeżeli plik robaka "winfile.dll" zostanie usunięty z folderu Windows,
  • jeżeli klucze robaka zostaną usunięte z rejestru systemowego,
  • w zależności od wewnętrznego licznika.

Robak podejmuje próby zakończenia działania aktywnych programów antywirusowych, wyszukiwanych ze względu na nazwę:

black, panda, shield, guard, scan, mcafee, nai_vs_stat, iomon, navap, avp, alarm, f-prot, secure, labs, antivir,zone, virus, worm, antivir, f-secure, f-prot, kaspers

Przy użyciu tych samych ciągów szkodnik próbuje usuwać pliki programów antywirusowych zainstalowanych w zainfekowanym systemie.

Dodatkowo robak korzysta z blokady (mutex) "RoRo", w celu uniknięcia uruchamiania kilku własnych kopii.

Usuwanie robaka

W celu usunięcia robaka należy przetestować wszystkie napędy komputera przy użyciu programu antywirusowego, usunąć wszystkie kopie robaka, a następnie skasować plik danych robaka (winfile.dll), utworzone przez niego klucze rejestru oraz wpisy w pliku WIN.INI.

UWAGA! Jeżeli przynajmniej jedna kopia robaka pozostanie w systemie może dojść do uruchomienia procedury, która usuwa wszystkie pliki zapisane na wszystkich napędach komputera!!!



 2002-11-07  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych