Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Rona.A
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Rona.A realiza las siguientes acciones:

Registra la siguiente información en un archivo:
- Versión del troyano: Ver: *** [0.92 AUG] ***Aug 16 2004 13:20:47
- Procesos activos.
- Disponibilidad de conexión a Internet.
- Intentos de actualización a través de FTP.
- Búsquedas de documentos.
- Información variada acerca de las acciones que realiza.
- Fecha y hora.
Comprueba si hay disponible una conexión a Internet, enviando peticiones echo ping al sitio web ftp.microsoft.com.
Si recibe respuesta, se conecta a ftp.targetdata.biz utilizando un determinado nombre de usuario y contraseña, para así:
- Actualizarse a sí mismo.
- Recibir un nuevo archivo de configuración.
- Recibir órdenes de control remoto. Una de las acciones que puede realizar es la de borrarse a sí mismo, lo cual consigue con un script llamado suicide.bat.
- Subir documentos que ha buscado previamente en el ordenador afectado.
- Enviar información de las páginas web accedidas por el usuario.
- Enviar las pulsaciones de teclado que ha registrado.
- Enviar un vídeo con las actividades del usuario.
Obtiene información sobre la cuenta de correo electrónico predeterminada, y puede enviar mensajes a través de ella.
Realiza capturas de la pantalla, e incluye datos como zona horaria, fecha, hora, etc., en la esquina superior izquierda:
Intenta desactivar el cortafuegos de un determinado paquete de seguridad. Para ello, realiza modificaciones en el Registro de Windows.
Intenta acceder a archivos correspondientes a sincronización de agendas PALM, así como el programa de mensajería instantánea ICQ.
Registra las direcciones web visitadas por el usuario, con el siguiente formato:

WWW: URL=about:Home Visited = 31.10.02 03:59
WWW: URL=http://www.google.com Visited = 10.05.05 07:10
WWW: URL=about:Home Visited = 31.10.02 03:59

Metodo de Infección

Rona.A crea los siguientes archivos:

SVCHOST.EXE, en el directorio de sistema de Windows y el directorio de Inicio. Este archivo es una copia del troyano.
Tenga en cuenta que el primer carácter de dicho nombre es un espacio en blanco.
Al crear una copia de sí mismo en el directorio de Inicio, Rona.A consigue ejecutarse siempre que Windows se inicia.
MMSYSTEM.DLX en el directorio de sistema de Windows. Este archivo guarda información sobre el ordenador y las actividades realizadas por el troyano.
Varios archivos cuyo nombre sigue el patrón: OLECLISYSTEMUPDATE_dd.mm.aaaa hh.mm.ss.DLX, en el directorio de sistema de Windows. Estos archivos son las capturas de pantalla realizadas por Rona.A.
dd.mm.aaaa es la fecha, y hh.mm.ss es la hora en la que la captura de pantalla fue hecha.
WINDOWS.MPG, en el mismo directorio donde el troyano fue ejecutado. Este archivo almacena información sobre las búsquedas que realiza, y tiene el siguiente formato:

'Query: *.doc in all drives (C-Z) for the last 1 days
'Ver: *** [0.92 AUG] ***Aug 16 2004 13:20:47 Creation time: 01.56.05 02:56:28. 1 files were found. Max files = 25000
[ ] c:\WINDOWS\system32\NDA rona.doc
'File 1 (of total 1) Date: 01.06.05 Length = 2424795
CHJO.DRV en el directorio de sistema de Windows. Este archivo es un registro de instalación del propio troyano:

Can Install 1
Can Recieve 0
Can Send 0
Can write to registry 1
Current Version (null)
Cycle 1
Files Sent 0 Last FTP update 31.12.1969 16:00 Last Offline 01.06.2005 02:56 Last
Online 31.12.1969 16:00
Last query 31.12.1969 16:00 Last settings update 01.06.2005 02:56
Logs sent 0 Screens sent 0 Start Time 01.06.2005 02:53
Work path C:\WINDOWS\System32
CFXP.DRV en el directorio de sistema de Windows. Este archivo es un registro de las páginas web visitadas por el usuario.
ACTIVITY.AVI, MMSYSTEM.DLX, PF30TXT.DLX, SDFSFD.3FS, SYSTEM.LST, TMP.EXE, UPGRADE.AVI y WINDLL.DLX, que son archivos temporales.
NDA RONA.DOC.

Rona.A modifica el archivo WIN.INI. Añade una sección llamada [WindowsSys32], y varias líneas que almacenan datos de su configuración.

Rona.A crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
regedit = %sysdir%\ svchost.exe ccRegVfy
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Rona.A consigue ejecutarse siempre que Windows se inicia.

Método de Propagación

Rona.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles

Rona.A está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 492934 Bytes.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info