Troj/Rona

Rona, troyano/backdoor roba información teclas digitadas las envía vía FTP al intruso, envía mensajes, etc.

Troj/Rona

Rona es un destructivo troyano/backdoor reportado el 31 de Mayo del 2005, que ingresa a los sistemas través de cualquier puerto que se encuentre abierto, con un archivo de nombre Svchost.exe, aunque también puede usar otros servicios de Internet tal como el IRC (Internet Chat Relay), FTP o mensajes de Correo.

Captura información, teclas digitadas, configuraciones, contraseñas, etc y las envía al intruso vía FTP o mensajes de Correo, ejecutando una variedad de acciones nocivas y hasta destructivas.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003 está desarrollado en MS Basic con una extensión de 482 KB y comprimido con el utilitario ASPack:

http://www.aspack.com

Una vez ingresado a un sistema muestra la siguiente falsa caja de diálogo:

sin acción alguna por parte del usuario se copia al directorio %System% con el nombre de svchost.exe y para activarse la siguiente vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"regedit" = "%System%\[espacio]svchost.exe ccRegVfy"

crea también el archivo Login.lnk en la ruta:

%UserProfile%\Start Menu\Programs\Startup\Login.lnk

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo en C:\Documents and Settings\[nombre_de _usuario].

la siguiente vez que se inicie el equipo, el troyano libera los siguientes archivos en la carpeta %System%, los cuales son usados para almacenar información:

CFXP.DRV
CHJO.DRV
MMSYSTEM.DLX
OLECLI.DLX
OLECLISystemUpdate_[fecha_y_hora].DLX
Windll.dlx
Activity.AVI
Upgrade.AVI
System.lst
PF30txt.dlx
windows.mpg

para verificar si el usuario está conectado a Internet el troyano abre una conexión FTP a ftp.microsoft.com y abre un Backdoor que se conecta al servidor ftp.targetdata.biz, desde donde intenta descargar un archivo con configuraciones definidas.

El troyano captura pantallazos en formato .jpg y los almacena como OLECLISystemUpdate_[fecha_hora].DLX ingresando la fecha y hora de la toma.

El backdoor podrá ejecutar, entre otras la siguientes acciones:

Descargar y subir archivos.
Ejecutar comandos y archivos con códigos malignos.
Capturar teclas digitadas.
Capturar secuencias de video.
Capturar pantallazos.
Buscar buzones de correo en archivos con extensiones .doc, .xls, .ppt, .mdb, y .eml.
Enviar la configuración de MS Outlook.
Enviar mensajes de Correo.
Terminar aleatoriamente procesos en ejecución.
Monitorear los sitios web visitados.
Enviar la configuración ICQ.
Enviar la configuración Palm.
Reiniciar el equipo a voluntad del intruso.
Actualizarse o borrarse a sí mismo.
Modificar la configuración de los firewalls.

PER ANTIVIRUS® versiones 9.2 y 9.3 con registro de virus al 31 de Mayo del 2005 detectan y eliminan este troyano/backdoor.