Вирусът Roro поразява на 9 и 19 число

Вирусът Roro поразява на 9 и 19 число

---

И през този месец авторите на вируси не ни лишиха от своето присъствие. Освен новите варианти на Opaserv и Oror, Panda Software акцентира върху появяването на червеите Bride и Roro/Roron ( за който се предполага, че е създаден в България).
Roro, Roron или Oror, който по всяка вероятност е български, се стартира на 9 и 19 число всеки месец, като изтрива файловете на всички дискове на инфектирания компютър. Вирусът W32.Roro се разпространява и от e-mail адрес alert@computel.bg на Panda Software Bulgaria, който реално не съществува.
Новите варианти E,F,G и H на червея W32/Oror изтриват всичко от файловете в хард диска, както и всеки мрежови драйвер, достъпен от заразения компютър. Вирусът търси и файлове на антивирусни програми с цел да ги елиминира. За разпространението си Oror използва e-mail, IRC (chat) и Kazaa програми. Много трудно може да се определи, че съобщението е насител на злонамерен код, тъй като неговият предмет и съдържание са променливи. Червеят се стартира при отваряне на прикрепения файл или се самоактивира, когато съобщението се визуализира в Preview Pane на Outlook, използвайки Exploit/iFrame уязвимостта.
Друг e-mail червей W32/Bride, който е подобен на Bugbear и Klez.I, може автоматично да се самоактивира, когато съдържащото го съобщение се визуализира в Preview Pane. Това се извършва чрез използването на Exploit/iFrame уязвимостта на Microsoft Internet Explorer. Файлът, прикрепен към e-maila, носител на този вирус, се нарича README.EXE. Bride временно изтрива всички икони от десктопа. В същото време той създава няколко файла в компютъра:
- EXPLORER.EXE - копие на червея, което е показано на десктопа като типична икона на Microsoft Internet Explorer;
- BRIDE.EXE се създава от Bride в системната директория на Windows и съдържа опасен вариант на вируса FunLove.4099;
- Накрая този червей се вмъква в регистъра на Windows за получаване на данните, които се появяват в съобщението на електронната поща, с цел да си подсигури активиране при всяко стартиране на системата.
Червеят W32/Mylka.A има способността да изтрива Windows файлове и приложения, включващи някои антивирусни програми. Той се разпространява през електронната поща. Съобщението и името на прикрепения файл, носител на Mylka.A, имат променливи характеристики, които се опитват да подмамят потребителите да отворят прикрепения файл и по този начин да го активират.
Новите варианти W32/Opaserv.J и W32/Opaserv.H имат за цел да заразяват компютри, свързани в мрежа, без да нанасят поражения. Те се разпространяват чрез споделени мрежови драйвери, като се опитват да се свържат с Web страница, чрез която да се самообновяват.
Opaserv.H търси уязвими системи в Internet, за да се инсталира в другите компютри. Когато ги намери, той извиква порт 139 и се самокопира в директорията C:Windows под името MARCO!.SCR.
Panda съветва: Ако някой от гореописаните вируси вече е достигнал до вашата система, можете да го премахнете чрез безплатното приложение PQREMOVE, на адрес: www.computel.bg/pqremove.com
Обновявайте непрекъснато антивирусните си решения. Вирусните дефиниции за Panda Software могат да бъдат изтеглени на адрес: www.pandasoftware.com
Безплатния online инструмент за сканиране Panda ActiveScan можете да намерите на адрес: www.computel.bg.

---