Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Romeo.C realiza las siguientes acciones:
- Muestra el mensaje Su PC esta infestada por un virus de ultima generacion cada vez que se reinicia el ordenador.
- Puede cerrar aplicaciones que estén en ejecución o cerrar sesión sin previo aviso.
Además, realiza numerosas modificaciones en el Registro de Windows del ordenador afectado, que tienen las siguientes consecuencias:
- Deshabilita los siguientes elementos:
- Editor del Registro de Windows.
- Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
- Opciones de carpeta del Explorador de Windows, que impide acceder al menú de configuración de las carpetas.
- Restauración de sistema, que sirve para devolver el equipo a un estado de funcionamiento anterior. Puede resultar muy útil para deshacer los cambios en el sistema y volver a un punto en el que el ordenador funcionaba correctamente.
- consola de comandos. - Deshabilita las siguientes opciones del menú Inicio:
- Buscar, que permite buscar archivos de una manera rápida y directa.
- Ejecutar.
- Apagar y Cerrar sesión, por lo que el usuario no podrá apagar el ordenador ni cerrar sesión a través del menú Inicio.
- Oculta el reloj de Windows. - Utiliza diversas técnicas para dificultar su detección:
- Oculta los archivos y carpetas con atributo oculto.
- Oculta las extensiones de los archivos.
Metodo de Infección
Romeo.C crea los siguientes archivos en el directorio de sistema de Windows:
- SAVE.EXE y WIN2X.EXE. Estos archivos son copias del troyano.
- DLL.SYS, utilizado para recopilar datos del ordenador afectado.
Romeo.C modifica el archivo BOOT.INI. El contenido predeterminado de este archivo es:
default = multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
y lo cambia por:
multi(0)disk(0)rdisk(0)partition(1)\Romeo="Su PC está infestada por un virus de ultima generacion"
De esta manera, el mensaje Su PC está infestada por un virus de ultima generacion se mostrará en cada reinicio del sistema.
Romeo.C crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Win2x = %sysdir%\Win2x.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Romeo.C consigue ejecutarse cada vez que Windows se inicia. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 01, 00, 00, 00
Deshabilita el Editor del Registro de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskMgr = 01, 00, 00, 00
Deshabilita el Administrador de Tareas. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableCMD = 01, 00, 00, 00
Deshabilita la consola de comandos. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore
Disable SR = 1
Deshabilita la opción de restauración del sistema. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoClose = 1
No aparece la opción Apagar del menu Inicio e impide la ejecución del comando shutdown a través de la consola de comandos. (CMD.EXE) - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
StartMenuLogOff = 1
No muestra la opción de Cerrar sesión en el menú Inicio. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFind = 1
No muestra la opción Buscar del menú Inicio. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoRun = 1
Deshabilita la función Ejecutar del Explorador de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFolderOptions = 1
No muestra la opción Opciones de Carpeta en el Explorador de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer
HideClock = 1
De esta manera, oculta el reloj de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer
RestrictRun = 1
Deshabilita la posibilidad de restringir las aplicaciones que puede ser ejecutadas por los usuarios.
Además, crea las entradas necesarias para registrarse como un servicio denominado WIN2X y así poder ejecutarse cada vez que Windows se inicia:
- HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ Win2x
- HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Win2x
Romeo.C modifica las siguientes entradas del Registro de Windows para ocultar su presencia y dificultar su detección:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 01, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 00, 00, 00, 00
Oculta los archivos y carpetas con atributo de oculto. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 00, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 01, 00, 00, 00
Oculta las extensiones de los archivos.
Método de Propagación
Romeo.C llega al ordenador en un archivo con el icono que tiene por defecto una carpeta:
Sin embargo, no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
Romeo.C está escrito en el lenguaje de programación Visual Basic. Este troyano tiene un tamaño de 98304 Bytes.