A Rona nevű trójai egy távoli szerverről letöltött konfigurációs fájl alapján számos kártékony művelet elvégzésére alkalmas.
A Rona trójai legfőbb feladata, hogy egy hátsó kaput nyisson a fertőzött számítógépeken, amelyen keresztül bizalmas információkat juttathat el a támadókhoz. A trójai felismerése egyszerű, ugyanis egy párbeszédablakot jelenít meg, amelyben a felhasználót egy titkos kód beírására kéri.
A Rona egy konfigurációs fájlt is letölt egy távoli szerverről. Ennek alapján különböző műveleteket hajt végre. Így például figyeli a billentyűleütéseket, naplózza a meglátogatott weboldalak címét, állományok tölt le a számítógépre, módosítja a tűzfalbeállításokat, újraindítja az operációs rendszert vagy eltávolítja saját magát a fertőzött számítógépről.
Amikor a Rona trójai elindul, akkor az alábbi műveleteket hajtja végre:
1. Megjeleníti a következő dialógus ablakot.
2. Létrehozza az alábbi fájlt:
%System%\ svchost.exe
3. A regisztrációs adatbázis
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion \Run
kulcsához hozzáadja a
"regedit" = "%System%\ svchost.exe ccRegVfy" értéket.
4. Létrehozza a következő fájlokat:
%UserProfile%\Start Menu\Programs\Startup\Login.lnk
%System%\CFXP.DRV
%System%\CHJO.DRV
%System%\MMSYSTEM.DLX
%System%\OLECLI.DLX
%System%\OLECLISystemUpdate_[dátum és idő].DLX
%System%\Windll.dlx
%System%\Activity.AVI
%System%\Upgrade.AVI
%System%\System.lst
%System%\PF30txt.dlx
%System%\windows.mpg
5. Az internet kapcsolat tesztelése céljából csatlakozik az ftp.microsoft.com szerverhez.
6. Nyit egy hátsó kaput, és csatlakozik a ftp.targetdata.biz FTP szerverhez. Innen letölt egy konfigurációs fájlt.
7. A letöltött konfigurációs állomány alapján a következő műveleteket tudja elvégezni.
- billentyűleütések figyelése
- képernyők lementése
- .doc, .xls, .ppt, .mdb, vagy .eml kiterjesztésű fájlok keresése
- fájlok le- és feltöltése
- meglátogatott weboldalak címének naplózása
- parancsok végrehajtása
- emailek küldése
- számítógép újraindítása
- tűzfalbeállítások módosítása
- saját állományainak törlése.
Forrás : Biztonságportál