RavMonE.exe - RavMonE.exe
Běžné jméno | RavMonE |
---|---|
Technický název | Win32.RJump.A |
Aliasy | Rajump, Jisx, Siweol, Bdoor-DIJ |
Rodina | RJump |
Klasifikace | Virus |
Typ | trojský |
Podtyp | Červ |
Izolace | Červen 2006 |
Bod izolace | Neznámý |
Místo původu | Neznámý |
Autoři | Neznámý |
RavMonE , také známý jako RJump, je trojský kůň, který otevírá zadní vrátka v počítačích se systémem Microsoft Windows . Jakmile je počítač napaden, virus umožňuje neoprávněným uživatelům získat přístup k obsahu počítače. To pro uživatele infikovaného počítače představuje bezpečnostní riziko, protože útočník může ukrást osobní údaje a použít počítač jako přístupový bod do interní sítě .
RavMonE se proslavil v září 2006, kdy byla dodána řada videí iPod s již nainstalovaným virem. Protože virus infikuje pouze počítače se systémem Windows, lze odvodit, že smluvní výrobce Apple nepoužíval počítače Macintosh. Apple se dostal pod určitou veřejnou kritiku za uvolnění viru svým produktem.
Popis
RavMonE je červ napsaný ve skriptovacím jazyce Python a byl převeden do spustitelného souboru Windows pomocí nástroje Py2Exe. Pokouší se šířit kopírováním na mapované a vyměnitelné úložné jednotky. Lze jej přenášet otevřením infikovaných e-mailových příloh a stažením infikovaných souborů z Internetu. Může se také šířit prostřednictvím vyměnitelných médií, jako jsou CD-ROM , flash paměti , digitální fotoaparáty a multimediální přehrávače .
Akce
Jakmile je virus spuštěn, provede následující úkoly.
- Zkopíruje se do% WINDIR% jako
RavMonE.exe
. - Přidá hodnotu
"RavAV" = "%WINDIR%\RavMonE.exe"
do klíče registruHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
. - Otevírá náhodný port a přijímá vzdálené příkazy.
- Vytvoří soubor protokolu
RavMonLog
pro uložení čísla portu. - To účtuje HTTP požadavku , který by radil útočník infikovaného počítače IP adresu a číslo portu otevřené.
Když je k infikovanému počítači připojeno vyměnitelné úložné zařízení, zkopíruje do tohoto zařízení následující soubory:
- autorun.inf - skript, který provede červa při příštím připojení zařízení k počítači
-
msvcr71.dll
- v případě, že cílové zařízení tuto podporu postrádá, modul Microsoft C Runtime Library obsahující standardní funkce, jako je kopírování paměti a tisk do konzoly -
ravmon.exe
- kopie červa
Aliasy
- Backdoor.Rajump (Symantec)
- Červ W32 / Jisx.A. (Panda)
- W32 / RJump-C (Sophos)
- Červ W32 / RJump.A! (Fortinet)
- Win32 / RJump.A (ESET)
- Win32 / RJump.A! Worm (CA)
- Worm.RJump.A (BitDefender)
- Worm.Win32.RJump.a (Kaspersky)
- Worm / Rjump.E (Avira)
- WORM_SIWEOL.B (TrendMicro)
- Červ / Obecná AMR (AVG)
- INF: RJump [Trj] (Avast!)
Viz také
Reference
externí odkazy
Abecedně podle vydavatele:
- "Historie souborů s definicemi virů AVIRA" . Avira . 23. října 2006. W32 / RJump. Archivovány od originálu 11. září 2007.
- "W32 / RJump.worm" . McAfee . 20. června 2006. W32 / RJump. Archivovány od originálu 3. září 2006.
- „Troj / Bdoor-DIJ“ . Sophos . W32 / RJump. Archivovány od originálu dne 5. listopadu 2006.
- "W32.Rajump" . Symantec. 23. června 2006. W32 / RJump.
- "WORM_SIWEOL" . Trend Micro . 15. listopadu 2016. W32 / RJump. Archivovány od originálu 2. prosince 2006.