RavMonE.exe

РавМонЭ
РавМонЭ
Техническое название	Win32.RJump.A
Псевдоним	Раджамп, Джискс, Сивёл, Bdoor-DIJ
Тип	Троянский
Подтип	Червь
Классификация	Вирус
Семья	RJump
Источник	Неизвестный
Авторы	Неизвестный

RavMonE , также известный как RJump, — это троян , который открывает бэкдор на компьютерах под управлением Microsoft Windows . После заражения компьютера вирус позволяет неавторизованным пользователям получить доступ к его содержимому. Это представляет угрозу безопасности для пользователя зараженной машины, поскольку злоумышленник может украсть личную информацию и использовать компьютер в качестве точки доступа во внутреннюю сеть .

RavMonE стал известен в сентябре 2006 года, когда ряд видеороликов iPod был отправлен с уже установленным вирусом. ^[1] Поскольку вирус заражает только компьютеры Windows, можно сделать вывод, что контрактный производитель Apple не использовал компьютеры Macintosh. Apple подверглась некоторой публичной критике за распространение вируса вместе со своим продуктом.

Описание

RavMonE — это червь , написанный на языке сценариев Python и преобразованный в исполняемый файл Windows с помощью инструмента Py2Exe. ^[2] Он пытается распространяться, копируя себя на отображаемые и съемные накопители. Он может передаваться путем открытия зараженных вложений электронной почты и загрузки зараженных файлов из Интернета. Он также может распространяться через съемные носители, такие как CD-ROM , флэш-память , цифровые камеры и мультимедийные проигрыватели .

Действие

После запуска вирус выполняет следующие задачи.

Он копирует себя в %WINDIR% как RavMonE.exe.
Он добавляет значение "RavAV" = "%WINDIR%\RavMonE.exe"в раздел реестраHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run .
Он открывает случайный порт и принимает удаленные команды.
Он создает файл журнала RavMonLogдля хранения номера порта.
Он отправляет HTTP-запрос, чтобы сообщить злоумышленнику IP-адрес зараженного компьютера и номер открытого порта.

При подключении съемного запоминающего устройства к зараженному компьютеру он копирует на это устройство следующие файлы:

autorun.inf - скрипт для запуска червя при следующем подключении устройства к компьютеру
msvcr71.dll- в случае, если целевое устройство не поддерживает эту функцию, модуль Microsoft C Runtime Library, содержащий стандартные функции, такие как копирование памяти и вывод на консоль ^[3]
ravmon.exe- копия червя

Псевдонимы

Бэкдор.Rajump (Symantec)
W32/Jisx.A.червь (Panda)
W32/RJump-C (Sophos)
W32/RJump.A!червь (Fortinet)
Win32/RJump.A (ESET)
Win32/RJump.A!Червь (CA)
Worm.RJump.A (BitDefender)
Worm.Win32.RJump.a (Касперский)
Worm/Rjump.E (Avira)
WORM_SIWEOL.B (TrendMicro)
Червь/Generic.AMR (AVG)
INF:RJump[Trj](Avast!)

Смотрите также

Список компьютерных вирусов (LR)

Ссылки

^ Mook, Nate (17 октября 2006 г.). "Apple Ships iPods with Windows Virus". Beta News. Apple извинилась во вторник за отправку видео iPods, содержащих вирус Windows
^ "Профиль вируса: W32/RJump.worm". McAfee. 20 июня 2006 г.
^ «Что msvcr71.dll делает на моем компьютере?». ProcessLibrary.

Внешние ссылки

В алфавитном порядке по издателю:

"AVIRA Virus Definition File History". Avira . 23 октября 2006 г. W32/RJump. Архивировано из оригинала 11 сентября 2007 г.
"W32/RJump.worm". McAfee . 20 июня 2006 г. W32/RJump. Архивировано из оригинала 3 сентября 2006 г.
"Troj/Bdoor-DIJ". Sophos . W32/RJump. Архивировано из оригинала 5 ноября 2006 г.
"W32.Rajump". Symantec. 23 июня 2006 г. W32/RJump. Архивировано из оригинала 10 февраля 2007 г.
"WORM_SIWEOL". Trend Micro . 15 ноября 2016 г. W32/RJump. Архивировано из оригинала 2 декабря 2006 г.

[1] Mook, Nate (17 октября 2006 г.). "Apple Ships iPods with Windows Virus". Beta News. Apple извинилась во вторник за отправку видео iPods, содержащих вирус Windows

[2] "Профиль вируса: W32/RJump.worm". McAfee. 20 июня 2006 г.

[3] «Что msvcr71.dll делает на моем компьютере?». ProcessLibrary.