"Лаборатория Касперского" сообщает о новом крайне опасном вирусе Roron, известном также под названием W32.Oron. По информации "Лаборатории", родиной вируса является Болгария, а число его разновидностей достигает на настоящий момент шести. Большое количество зараженных компьютеров уже обнаружено в России, США и некоторых странах Европы. Для распространения Roron использует электронную почту, пиринговую сеть KaZaA и чаты IRC. Кроме этого, вирус может передаваться и по локальной компьютерной сети.

Активация вируса происходит только, если пользователь пораженного компьютера сам запустит его исполняемый файл. В процессе установки Roron размещает свои копии в каталогах Windows и Program Files и регистрирует один из этих файлов в ключе автозапуска системного реестра, с тем чтобы обеспечить свою загрузку при каждом запуске операционной системы. Для распространения своих копий вирус рассылает электронные письма с различными заголовками, текстом и собственными копиями под различными именами. Для распространения по локальным сетям червь ищет сетевые диски и папки, к которым открыт полный доступ, и записывает туда свои копии со случайно выбранными именами. Аналогично происходит заражение через сеть KaZaA - вирус размещает свою копию в папке My Shared Folder, в которой располагаются файлы для обмена.

Roron располагает обширным арсеналом шпионских и деструктивных функций. Например, если на зараженном компьютере установлен клиент для работы с чатами IRC, то червь внедряет в нее специальные процедуры, обеспечивающие злоумышленника "черным ходом" в систему. В результате, хакеры получают возможность незаметно управлять компьютером, в том числе, принимать, отправлять, запускать любые файлы, рассылать электронные письма, перезагружать компьютер, отсылать информацию о компьютере и т. д. Данный компонент червя также может проводить распределенные DoS-атаки на указанный злоумышленниками компьютер.

Деструктивные функции, заложенные в Roron, могут привести к уничтожению файлов на всех жестких дисках компьютера. Это происходит в одном из следующих случаев:

• текущая системная дата - девятое или девятнадцатое число любого месяца
;
• удален один из системных файлов червя с именем winfile.dll;
• удалены ключи автозапуска червя из системного реестра Windows;
• случайно, в соответствии с внутренним счетчиком вируса

Кроме этого, вирус ведет поиск активных процессов многих антивирусных программ, пытается принудительно завершить их работу и удалить эти антивирусные программы с диска.