Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
-
Portada Foro Ayuda Tutoriales Programas Blog Tecnología Drivers Videos
Windows | Android | iOS | Comunidad | Hazte Fan | Síguenos Buscador



Romeo.C - Trj/Romeo.C

Nombre común: Romeo.C

Nombre técnico: Trj/Romeo.C

Peligrosidad: Baja

Tipo: Troyano

Efectos: Realiza numerosas modificaciones en el Registro de Windows, que imposibilitan que el ordenador funcione con total normalidad. Deshabilita varias funciones del menú Inicio, como Buscar, y aplicaciones como el Administrador de tareas. Deshabilita funcionalidades como Apagar o Cerrar sesión y Restaurar sistema. No se propaga automáticamente por sus propios medios.

Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95

Fecha de detección: 21/01/2008

Detección actualizada: 21/01/2008

Estadísticas No

Protección proactiva: Sí, mediante las Tecnologías TruPrevent

Descripción Breve

Romeo.C es un troyano que realiza numerosas modificaciones en el Registro de Windows, lo que imposibilita que el ordenador funcione con total normalidad.

Estas modificaciones impiden al usuario realizar las siguientes acciones, entre otras:

Realizar búsquedas de manera rápida y directa, ya que deshabilita las opción Buscar del menú Inicio.
Visualizar los procesos que están en ejecución a través del Administrador de Tareas.
Modificar la configuración de las características de las carpetas.
Apagar el ordenador o cerrar sesión, ya que deshabilita ambas opciones del menú Inicio.
Restaurar el sistema para devolver el equipo a un estado de funcionamiento anterior.
Romeo.C no se propaga automáticamente por sus propios medios.

Síntomas Visibles

Romeo.C es fácil de reconocer una vez ha afectado el ordenador, ya que muestra el mensaje Su PC esta infestada por un virus de ultima generacion cada vez que se reinicia el ordenador.

Efectos

Romeo.C realiza las siguientes acciones:

Muestra el mensaje Su PC esta infestada por un virus de ultima generacion cada vez que se reinicia el ordenador.
Puede cerrar aplicaciones que estén en ejecución o cerrar sesión sin previo aviso.
Además, realiza numerosas modificaciones en el Registro de Windows del ordenador afectado, que tienen las siguientes consecuencias:

Deshabilita los siguientes elementos:
- Editor del Registro de Windows.
- Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
- Opciones de carpeta del Explorador de Windows, que impide acceder al menú de configuración de las carpetas.
- Restauración de sistema, que sirve para devolver el equipo a un estado de funcionamiento anterior. Puede resultar muy útil para deshacer los cambios en el sistema y volver a un punto en el que el ordenador funcionaba correctamente.
- consola de comandos.
Deshabilita las siguientes opciones del menú Inicio:
- Buscar, que permite buscar archivos de una manera rápida y directa.
- Ejecutar.
- Apagar y Cerrar sesión, por lo que el usuario no podrá apagar el ordenador ni cerrar sesión a través del menú Inicio.
- Oculta el reloj de Windows.
Utiliza diversas técnicas para dificultar su detección:
- Oculta los archivos y carpetas con atributo oculto.
- Oculta las extensiones de los archivos.
Metodo de Infección
Romeo.C crea los siguientes archivos en el directorio de sistema de Windows:

SAVE.EXE y WIN2X.EXE. Estos archivos son copias del troyano.
DLL.SYS, utilizado para recopilar datos del ordenador afectado.

Romeo.C modifica el archivo BOOT.INI. El contenido predeterminado de este archivo es:
default = multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
y lo cambia por:
multi(0)disk(0)rdisk(0)partition(1)\Romeo="Su PC está infestada por un virus de ultima generacion"
De esta manera, el mensaje Su PC está infestada por un virus de ultima generacion se mostrará en cada reinicio del sistema.

Romeo.C crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Win2x = %sysdir%\Win2x.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Romeo.C consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 01, 00, 00, 00
Deshabilita el Editor del Registro de Windows.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskMgr = 01, 00, 00, 00
Deshabilita el Administrador de Tareas.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableCMD = 01, 00, 00, 00
Deshabilita la consola de comandos.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore
Disable SR = 1
Deshabilita la opción de restauración del sistema.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoClose = 1
No aparece la opción Apagar del menu Inicio e impide la ejecución del comando shutdown a través de la consola de comandos. (CMD.EXE)
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
StartMenuLogOff = 1
No muestra la opción de Cerrar sesión en el menú Inicio.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFind = 1
No muestra la opción Buscar del menú Inicio.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoRun = 1
Deshabilita la función Ejecutar del Explorador de Windows.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFolderOptions = 1
No muestra la opción Opciones de Carpeta en el Explorador de Windows.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer
HideClock = 1
De esta manera, oculta el reloj de Windows.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\Explorer
RestrictRun = 1
Deshabilita la posibilidad de restringir las aplicaciones que puede ser ejecutadas por los usuarios.

Además, crea las entradas necesarias para registrarse como un servicio denominado WIN2X y así poder ejecutarse cada vez que Windows se inicia:

HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ Win2x
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Win2x

Romeo.C modifica las siguientes entradas del Registro de Windows para ocultar su presencia y dificultar su detección:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 01, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 00, 00, 00, 00
Oculta los archivos y carpetas con atributo de oculto.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 00, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 01, 00, 00, 00
Oculta las extensiones de los archivos.
Método de Propagación
Romeo.C llega al ordenador en un archivo con el icono que tiene por defecto una carpeta:



Sin embargo, no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles

Romeo.C está escrito en el lenguaje de programación Visual Basic. Este troyano tiene un tamaño de 98304 Bytes.


Enviado con fecha: 17-09-2008 06:58:49 - Visto: 8681 veces.


Ver Antivirus gratis - Volver al Índice de Virus.

Información extraida de la Web de Panda Antivirus.


Foro Virus
Tengo un virus test.reg y no consigo eliminarlo.
Ayuda para eliminar babylon.
Como descargo antivirus.
Memorias infectadas.
Telefono samsung f480 lento y se me olvido contraseñ.
Pc se bloquea al conectar disco duro.
Que antivirus me recomiendan para mi laptop.
El antivirus indica: ke la pc no esta protegida.
Como elimino un bootstrapper_0-uvdhqmap_.
Como apagar el x7.






Ver también:
Romeo.c - trj/romeo.cRomeo.c - trj/romeo.c »






Configurarequipos TVBajar Antivirus gratisCual es mi IPTest velocidadTrucosADSL
OverclockingForo ADSLDiccionarioWirelessMapa Segunda manoTiendas de informatica
Blog TecnologíaÚltimos VirusManualesSeguridadMapa ForoOrdenadores segunda mano

Aviso LegalPolitica de Privacidad
PORTADADirectorio



Buscar: en
ConfigurarEquipos.com® - 13 Noviembre 2019 | Informática Windows | Mapa Web | Foro Ayuda