WinZip licencnek álcázott, veszélyes féregvírus terjed az interneten: a vírusirtók egyelőre tehetetlenek

[2F] Az F-Secure Corp. és a Kaspersky Labs antivírus cégek egybehangzó jelentése szerint egy új, Bulgáriából származó féregvírus terjed szabadon a interneten, amely különösen sokoldalúnak és veszélyesnek tűnik. A Kaspersky immár a legmagasabb, vörös riadó fokozatot rendelte el a Roron vírussal kapcsolatban.

A kártevőt Visual C++ nyelven írták, mérete kb. 120 Kbyte. Már eddig is hat változatát azonosították. Fertőzött levélmellékletben, Windows hálózati megosztásokon keresztül (SMB) és a KaZaa fájlcserélő hálózaton keresztül is terjed. Hátsóajtó (backdoor) komponense az IRC csatornákon juttat ki információt a gépünkről.

Megfertőződésre figyelmeztető jel lehet, ha a gépünkre telepített biztonsági szoftverek leállnak, eltűnnek, vagy a PC spontán újraindul. Ugyanis a vírus leállítja, sőt a merevlemezről is letörli azokat a termékeket, amelyek nevében szerepel a black, panda, shield, guard, scan, mcafee, nai_vs_stat, iomon, navap, avp, alarm, f-prot, secure, labs, antivir, zone, virus, worm, antivir, f-secure, f-prot, vagy kaspers szöveg.

Amennyiben a gépen van IRC csevegő-kliens, a mIRC szoftver könyvtárába négy darab backdoor script programot másol, ilyen fájlnevekkel: alias.ini, server.ini, notes.ini, popup.ini. Ezeket az eszközöket felhasználva a hacker átveheti az ellenőrzést gépünk felett, és távolról telepíthet és futtathat programokat rajta, vagy felhasználhatja kéretlen reklámlevelek (spam) kézbesítésére. Akár a gép adatainak elküldésére vagy a rendszer újraindításra is parancsot adhat.

Sajnos előzetes értékelés szerint a féregvírus újszerű önvédelmi módszert alkalmaz. Amennyiben a felhasználó vagy egy antivírus program megpróbálja letakarítani a gépről, és ez az irtás nem teljes, a Roron megmaradó példánya "megtorlásként" letörli a merevlemez tartalmát. Ezért a megfelelő víruskereső-frissítés megjelenéséig nem javasoljuk a manuális eltávolítást megkísérelni.

Az F-Secure és Kaspersky víruskeresők már képesek detektálni a Roron vírust, javasoljuk a legfrissebb adatbázisok letöltését.