|
W32/Ronoper@mm, I.worm.Ronoper@mm
RONOPER es un gusano/troyano/backdoor reportado el 16 de Diciembre del 2002, que se propaga masivamente en mensajes de correo, con un archivo anexado de nombre WinCfg32.exe al manipular las funciones de las librerías MAPI (Messaging Application Programming Interface) de MS Outlook y Outlook Express. Asimismo libera un Servidor backdoor el cual recibe comandos de varias direcciones IP ubicadas en Medio Oriente. Se difunde además, a través del IRC (Internet Chat Relay).
Ha sido desarrollado en Borland Delphi, con una extensión 16 KB y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.
Al ejecutar el archivo el gusano se auto-copia a la carpeta %Windir% con el nombre de WinCfg32.exe y lo agrega a la siguiente llave de registro para activarse en el siguiente reinicio del sistema:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
WinCfg32 = %Windir%\WinCfg32.exe
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.
Para difundirse por el IRC (Internet Chat Relay) el gusano sobre-escribe el SCRIPT.INI del software mIRC con su código viral en la carpetas C:\mIRC y C:\Archivos de programa\mIRC. Este archivo infectado busca un canal de Chat de nombre "ronop" desde el cual infectará a todos los usuarios que se conecten a una misma sesión.
El gusano intenta conectarse al URL http://www.kamerali.com (actualmente desactivado) para descargar un archivo denominado security.exe, el cual es almacenado en la carpeta Temporal de Windows y al ser auto-ejecutado, liberará varios archivos troyanos/backdoor, contenidos en su código.
Su payload es destructivo, pues al tomar control de los sistemas podrá ejecutar acciones, tales como:
PER ANTIVIRUS® versión 7.8 con registro de virus al 16 de Diciembre del 2002 detecta y elimina eficientemente este gusano/backdoor.
