|
Win32/Roron@mm, W32/Oror, W32/Roro@mm, I.worm.Roro
Roron es un gusano reportado el 07 de Noviembre del 2002, de propagación masiva en mensajes de correo con un archivo anexado de diversos nombres, de extensión .exe, que contiene diferentes Asuntos y Contenidos elegidos en forma aleatoria. Tiene similitudes con la familia de virus Oror, pero esta variante, creada en Bulgaria tiene efectos muy destructivos.
Se auto-envía a los contactos de la libreta de direcciones de MS Outlook, infecta archivos de la red Kazaa y unidades de discos compartidos. Tiene capacidad de troyano/backdoor al infectar a un software de Chat.
Ha sido programado en MS Visual C++, con una extensión de 120 KB, es un PE (Portable Ejecutable) que infecta a Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/XP.
Los mensajes varían aleatoriamente:
Remitente, cualquier dirección de correo capturado del sistema infectado.
Asuntos y Contenidos elegidos aleatoriamente de los siguientes textos en inglés o búlgaro:
Zdrasti..
Hey, kak varvi, neshto novo ima li :) Adski mi sa spi, daje ei sq smqtam da si legna ama purvo shte si vzema edin dush :)) Skoro shti pratq onva deto obeshtah, za sq mojesh da hvarlish edno oko na %s - ako imash nqkvi predlojeniq, komentari ili kakvoto i da e pishi mi :)) Aide doskoro i umnata ~pPp
Ohoo!!
Zdravei, zdrasti, dai pari za pasti :)) Ko praish? Za teb neznam ama v momenta se chustvam mnoo qko i reshih da ti pisha :) Kolko ti e rekorda na minichkite? Toku shto na Expert razminirah za 2 minuti :))) Ei sq smqtam da si vzema nqkoi qk film i da gledam. Hodil li si na %s - Mnoo me kefi :)) Za drugo ne se seshtam tai che chao za sega :))
Ei dupe :)
Zdrasti :)) Nqma da povqrvash kakvo mi se sluchi neska :) Vidqh Slavi Trifonov i nqkvi mnoo qki madami s nego :))) Ko shi kaish a? Misleh da mu iskam avtograf ama me dosramq :(( Karai, drug pat ~pP. Begai na %s :) Malko e stranen, no ne e losh. Hmm, ti ko praish? Pishi mi :) Chao
Liubofta e kato Rai, no moje da boli kato Ad
Zdr, izpratih na vsichki edna programka, mnoo qka, btw to imeto si pokazva. Subject-a e ot tam i ima i drugi mnogo qki misli. Moje da pokaje nai-podhodqshtiq partnior v liubofta :)) Ujasno e kak liubofta moje da ubie vsichko v teb.. Za shtastie ne vinagi e taka :) Inache nishto novo, karam q nqkak.. Sega trqbva da izlizq za malko tai che bye :))
ZzZz :)
Zdrasti, kak q karash :) az sam dobre, makar che naposledak imam malko problemi. Tvarde mnogo mi se strupa navednaj, udarih si rakata ei sq i mnogo me boli.. Kakvo da se pravi, takav e jivota.. Vchera namerih nqkav generator na kreditni karti i mai bachka, samo edin put go probvah ama stana, vij dali pri teb sha raboti i umnata :) Ai doskoro :)) Chao ti
Vajno!!
Ima nov opasen virus v neta! Razprostranqva se predimno po IRC i ICQ. Vnimavai da ne se zarazish, zashtoto iztriva Mp3-ki, Filmi i Dokumenti. Izpratih ti patch, koito shte te paziot zarazqvane. Iskah da napisha po-dulgo pismo, no nqmah vreme, sorka.. Naposledak imam adski mnogo rabota nalqvo nadqsno :)) Inache kak varvi? Chao i watch out :)))
Bla Bla :)
Hi, kak e :) ko si praikash? az si slusham muzichka - ATC i Mortal Kombat Soundtrack - Varhovni sa, napravo izbuhnah :))) Drapnah si gi ot neta s taq programka - ima 200 kubriliona klasacii :) Naposledak muzikata e edno ot malkoto mi udovolstviq P.S. Obezatelno si drapni ATC - Why oh why.mp3 :)) Chao, doskoro!!
HeY..
HeY.. Buddz what'z up :) How are you? I'm fine, 10x!! My friend Nina is here and we are.. You know :) Lalala !! Be happy, don't worry ~pPp. Btw check this site - %s, it's fresh :)) I'm a little drunk and i've gotta go now !! Wish me luck :)) Cya
ZzZz :)
Hi buddy, what's up :)) I've only wanted to remind you not to forget about our little, dirty secret :) And don't tell anybody :Ppp. Have you seen this site - %s c00l :) Leave this away, how are you? Send me sth cool, plzz:) bye! :)
BlaBla
Hey :) Wasupp ~Pp I wanted to write you a letter, but i didn't know what to talk about actually :) Have you ever done an IQ test, i've just scored 120 points :) I'm not sure if this is good or bad, who cares :) Have you visited %s :) Finally, how are you:) i'll be very happy if you send me 1,2 funny cards :)))) bye! :)
Be careful
There is a new, dangerous virus in the net. It's called Roro and it's using IRC to infect computers. The virus deletes movies, music and system files. To prevent from infecting, install McAfee Anti-Script 2002. It's a 30-days demo.. So, how are you? Good, Bad? I'm oK. I wanted to write you a longer letter, but i didn't have enough time.. sorry. Bye
yoOo ;)
YoOo :)) What a nice day, what a nice time :) What a nice world :)) Do you have Blade 2? I've just watched it twice, it's marvellous! lol ~pPp Do you have any ATC's mp3z? CooL :))) I've found them with this program, it's like Napster, but it's legal :)) P.S. Download ATC - Why oh why.mp3 !!! Bye ~~~~ppPpP ;)
Wow..
Hello :>> How are you? What're you doing :) Do you have Blade 2? I've just watched it twice, it's marvellous! You can't guess what I've found.. A working Credit Card generator :))) I purchased a bride from Russia yesterday :) LoL.. I gave a fake address of course :))) Promise me not to send it to anybody! Don't go too far and watch out :)) Bye..
Hi!!
Hey you!! Wasssssssuppppppp :)))) Where are you? What are you doing? I've just got high in the sky, my oh my :)) It's like I don't care about nothing man :)) sMiLe :oP~pPPPpp I send you a sexy, little thing :)) Everything is just an illusion. Believe me.. It's time to say goodbye
now..
See you
Archivos anexados, uno de los siguientes:
Ejemplo de mensaje:
Cuando se ejecuta el archivo, el gusano se auto-copia a %windir% con el nombre rundll16.exe y lo agrega a las siguientes llaves de registro para activarse la próxima vez que se inicie el sistema:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
LoadCurrentProfile = Rundll16.exe powprof.dll,LoadCurrentUserProfile
[HKCR\exefile\shell\open\command]
%WinDir%\Rundll16.exe "%1" %*
[HKCR\regfile\shell\open\command]
%WinDir%\Rundll16.exe regedit.exe "%1"
El gusano también se copia a %system% y a la carpeta C:\Archivos de programa, con un nombre aleatorio de archivo o carpeta y al que agrega al azar las cifras 98, 16 o 32 al final del archivo:
También agrega la siguiente línea al archivo WIN.INI:
[windows]
run=c:\%windir%\system\nombre_aleatorio_de_archivo32.exe
%windir% es una variable de C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.
%system% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP.
Luego el gusano muestra la siguiente caja de diálogo:
Este gusano almacena su configuración en el directorio de Windows como winfile.dll. También se copia a la carpeta de Kazaa con los siguientes nombres:
El gusano busca las unidades de disco compartidas y se auto-copia con uno de los nombres antes detallados.
Si el gusano encuentra el software mIRC instalado, sobre-escribe C:\mirc\script.ini convirtiendo al sistema infectado en un servidor de acceso remoto, al cual un hacker podrá controlar desde su software cliente.
Su payloads destructivos son:
1. Termina los procesos de los antivirus y firewalls que tengan las siguientes cadenas:
2. Usando estas cadenas, si alguno de los antivirus se encuentra instalado, borra sus archivos.
3. Finalmente crea un mutex denominado "RoRo" para evitar la generación de sus múltiples auto-copias en la memoria de Windows.
PER ANTIVIRUS® versión 7.7 con registro de virus al 07 de Noviembre del 2002, detecta y elimina eficientemente este gusano.
