По информации "Лаборатории Касперского", родиной вируса является Болгария, в настоящее время число его разновидностей достигло шести. Большое количество зараженных компьютеров уже обнаружено в России, США и некоторых странах Европы. Для распространения Roron использует электронную почту, пиринговую сеть KaZaA и чаты IRC. Кроме этого, вирус может передаваться и по локальной компьютерной сети.
Активация вируса происходит только, если пользователь пораженного компьютера сам запустит его исполняемый файл. В процессе установки Roron размещает свои копии в каталогах Windows и Program Files и регистрирует один из этих файлов в ключе автозапуска системного реестра с тем, чтобы обеспечить свою загрузку при каждом запуске операционной системы. Для распространения своих копий вирус рассылает электронные письма с различными заголовками, текстом и собственными копиями под различными именами.
Roron располагает обширным арсеналом шпионских и деструктивных функций. Например, если на зараженном компьютере установлен клиент для работы с чатами IRC, то червь внедряет в нее специальные процедуры, обеспечивающие злоумышленника "черным ходом" в систему. В результате хакеры получают возможность незаметно управлять компьютером, в том числе, принимать, отправлять, запускать любые файлы, рассылать электронные письма, перезагружать компьютер, отсылать информацию о компьютере и т. д.
Деструктивные функции, заложенные в Roron, могут привести к уничтожению файлов на всех жестких дисках компьютера.
Кроме того, вирус ведет поиск активных процессов многих антивирусных программ, пытается принудительно завершить их работу и удалить эти антивирусные программы с диска.