Prim Hírek

A kártevőt Visual C++ nyelven írták, mérete kb. 120KB. Már eddig is hat változatát azonosították. Fertőzött levélmellékletben, Windows hálózati megosztásokon keresztül (SMB) és a KaZaa fájlcserélő hálózaton keresztül is terjed. Hátsó ajtó komponense az IRC csatornákon juttat ki információt a gépünkről. mp> Megfertőződésre figyelmeztető jel lehet, ha a gépünkre telepített biztonsági szoftverek leállnak, eltűnnek, vagy a PC spontán újraindul. Ugyanis a vírus leállítja, sőt a merevlemezről is letörli azokat a termékeket, amelyek nevében szerepel a: black, panda, shield, guard, scan, mcafee, nai_vs_stat, iomon, navap, avp, alarm, f-prot, secure, labs, antivir, zone, virus, worm, antivir, f-secure, f-prot, kaspers sztring.

Sajnos előzetes értékelés szerint a féregvírus újszerű önvédelmi módszert alkalmaz. Amennyiben a felhasználó vagy egy antivírus program megpróbálja letakarítani a gépről és ez az irtás nem teljes, a Roron megmaradó példánya "megtorlásként" letörli a merevlemez tartalmát. Ezért a megfelelő víruskereső frissítés megjelenéséig nem javasoljuk a manuális eltávolítást megkísérelni. Részletek:

1., Bejutás:

Amennyiben LEVÉLBEN érkezik a Roron, a fertőzésre csak akkor kerülhet sor, ha a felhasználó megnyitja a mellékletet, vagyis az eddig ismert változatok nem használják a rettegett I-Frame sebezhetőséget az automatikus fertőzésre. Tehát ne nyissunk meg mellékletet; ha nem kértük, nyilván nincs is rá szükségünk! Ez alapszabály. Ha mégis rákattintottunk, a vírus az esetek egy részében megtévesztő, hamis üzenetablakot jelenít meg, amelyben a közismert WinZip tömörítőprogram egyik komponensének hiányzó vagy lejárt felhasználói licencére "figyelmeztet".

Helyi hálózaton (Windows SMB) keresztüli terjedéskor a féreg csak a full access jogokkal megosztott merevlemezeket tudja megfertőzni, sajnos azonban sok helyen használnak ilyen beállításokat. Egyrészt C-től Z-ig a mapped távoli meghajtókat ellenőrzi, másrészt Windows API hívásokkal az UNC erőforrásokat is végigkeresi. Ilyenkor a távoli lemezre az "autorun.inf" fájlba elhelyezett "OPEN=" paranccsal biztosítja a következő rendszerindításkor a távoli gép megfertőződését.

A KaZaa fájlcserélő szolgáltatáson keresztül akkor fertőződhetünk meg, ha idegen gépről gyanútlanul letöltünk egy megosztott állományt, amely csábító fájlnevek alatt rejtőzik (ld. alább)

2., Fertőzési folyamat:

Bemásolja magát a Windows könyvtárba állandó, "rundll16.exe" néven és ehhez elkészíti a megfelelő registry-bejegyzést is: "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\LoadCurrentProfile = Rundll16.exe powprof.dll,LoadCurrentUserProfile"

"HKCR\exefile\shell\open\command %WinDir%\Rundll16.exe "%1" %*"

"HKCR\regfile\shell\open\command %WinDir%\Rundll16.exe regedit.exe "%1""

A windows rendszerkönyvtárába (%Windir%\System) és a \Program files mappába azonban az adott fertőzött gépről választott véletlen fájlnévvel települ, amelyet megtold egy 98.exe, 16.exe vagy 32.exe végződéssel. Így aztán pl. ilyen fájlok fordulhatnak elő fertőzött gépeken: "Program Files\Online Services\Online Service16.exe" vagy "\Windows\System\browseui16.exe". Természetesen ezek a példányok is bejegyzésre kerülnek a registry-be a HKLM\...\Run kulcs alatt ill. a WIN.INI fájlban a [windows] szekció alatti "run=" utasításban.

A sok részből álló Roron kártevő a káosz elkerülésére a Windows könyvtárban egy "winfile.dll" nevű állományban tartja nyilván saját komponenseit és változóit, illetve a memóriában is létrehoz egy "RoRo" nevű mutex-et a többszörös fertőződés elkerülésére.

3., Továbbterjedés:

Ilyen fájlneveket használ a Roron vírus, amikor a továbbterjedést szolgáló példányait létrehozza: Sound Factory SFX.exe, Eminem Desktop.exe, DMX tHeMe (full).exe, Love Zodiak.exe, [TNT]GeN.exe, Worm Guard.exe, mTV Charts.exe, Setup.exe, mTV Charts.exe Zip Password Recovery v4.5.exe, Star Craft 2 Trailer.exe, WWF!!_The_ROCK(sHOw).exe, cRedit CarDs gEn v1.2.exe, WinZip 8.2 (Cracked).exe, GTA 3 Bonus Cars.exe, Eminem Desktop.exe, DMX tHeMe (full).exe, NFS 5 Bonus Cars.exe, Counter Strike 1.5 (Editor).exe, Madonna - My Life (Review).exe, DivX 5.4 Bundle.exe, KaZaA Media Desktop v1.8.3.exe, Win XP key gen 2.1B.exe, Serials 2002 Update.exe.

Ezek közül az elől felsorolt rövidebb fájlnevek szerepelnek azokban a levelekben, amelyek a vírus szétküld. Ehhez a windows MAPI utasításokat használja, átnézi teljes postafiókunkat és üzenetekből kibányássza az e-mail címeket, majd azoknak elpostázza a vírus egy-egy példányát. A levelek tárgysorának és szövegének választéka igen széles és a törzsben mindig említésre kerül a mellékelt (fertőzött) fájl pontos neve is, ami segít félrevezetni a levél olvasóját. plusz egy igazán arcátlan meglepetés (néha saját magára is figyelmeztet!):

Amennyiben egy fertőzött gépen fájlcserélő klienst talál a Roron féregvírus, akkor a KaZaa megosztott mappába is bemásolja magát, hátha letölti onnan egy feltört játékokra és filmekre vadászó gyanútlan delikvens.

4., Pusztító rutin:

A Roron vírus megpróbál minden fájlt letörölni a gép összes helyi lemezéről, ha a dátum a hónap 9. vagy 19. napjára esik! Ismét emlékeztetnénk arra, hogy a vírus ezen pusztító rutinja aktivizálódhat, ha a registry kulcsát vagy a "winfile.dll" konfigurációs állományát helytelen sorrendben törlik le, kérjük ne próbálkozzanak kézi mentesítéssel, ha a gépük már megfertőződött! Amennyiben a gépen van IRC csevegő-kliens, a mIRC szoftver könyvtárába négy darab backdoor script programot másol, ilyen fájlnevekkel: alias.ini, server.ini, notes.ini, popup.ini. Ezeket az eszközöket felhasználva a hacker átveheti az ellenőrzést gépünk felett és távolról telepíthet/futtathat programokat rajta vagy felhasználhatja kéretlen reklámlevelek (spam) kézbesítésére. Akár a gép adatainak elküldésére vagy a rendszer újraindításra is parancsot adhat.

Kérjük Önöket, hogy a szokásos biztonságos számítástechnika szabályokat (safe hex) fokozottan tartsák be. Az F-Secure és Kaspersky víruskeresők már képesek detektálni a Roron vírust.