RavMonE.exe
| РавМоне | |
|---|---|
| Техническое название | Win32.RJump.A |
| Псевдоним | Раджамп, Джискс, Сивеол, Бдор-THIJ |
| Тип | Троян |
| Подтип | Червь |
| Классификация | Вирус |
| Семья | RJump |
| Источник | Неизвестный |
| Авторы | Неизвестный |
RavMonE , также известный как RJump, — это троян , открывающий бэкдор на компьютерах под управлением Microsoft Windows . После заражения компьютера вирус позволяет неавторизованным пользователям получить доступ к содержимому компьютера. Это создает угрозу безопасности пользователя зараженной машины, поскольку злоумышленник может украсть личную информацию и использовать компьютер в качестве точки доступа во внутреннюю сеть .
RavMonE стал известен в сентябре 2006 года, когда несколько видеороликов для iPod были отправлены с уже установленным вирусом. [ 1 ] Поскольку вирус заражает только компьютеры под управлением Windows, можно предположить, что контрактный производитель Apple не использовал компьютеры Macintosh. Apple подверглась некоторой публичной критике за распространение вируса вместе со своим продуктом.
Описание
[ редактировать ]RavMonE — это червь , написанный на языке сценариев Python и преобразованный в исполняемый файл Windows с помощью инструмента Py2Exe. [ 2 ] Он пытается распространиться путем копирования себя на подключенные и съемные носители. Заразиться можно, открыв зараженные вложения электронной почты и загрузив зараженные файлы из Интернета. Он также может распространяться через съемные носители, такие как компакт-диски , флэш-память , цифровые камеры и мультимедийные проигрыватели .
Действие
[ редактировать ]После запуска вирус выполняет следующие задачи.
- Он копирует себя в %WINDIR% как
RavMonE.exe. - Это добавляет ценность
"RavAV" = "%WINDIR%\RavMonE.exe"к реестра ключуHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. - Он открывает случайный порт и принимает удаленные команды.
- Он создает файл журнала
RavMonLogдля сохранения номера порта. - Он отправляет HTTP-запрос, зараженного компьютера чтобы сообщить злоумышленнику IP-адрес и номер открытого порта.
Когда к зараженному компьютеру подключается съемный накопитель, на него копируются следующие файлы:
- autorun.inf - скрипт запуска червя при следующем подключении устройства к компьютеру
msvcr71.dll- если на целевом устройстве отсутствует такая поддержка, Microsoft C, модуль библиотеки времени выполнения содержащий стандартные функции, такие как копирование памяти и печать на консоль. [ 3 ]ravmon.exe- копия червя
Псевдонимы
[ редактировать ]- Backdoor.Rajump (Symantec)
- W32/Jisx.A.worm (Панда)
- W32/RJump-C (Софос)
- W32/RJump.A!червь (Fortinet)
- Win32/RJump.A (ESET)
- Win32/RJump.A!Червь (Калифорния)
- Червь.RJump.A (BitDefender)
- Worm.Win32.RJump.a (Касперский)
- Червь/Rjump.E (Avira)
- WORM_SIWEOL.B (TrendMicro)
- Червь/Generic.AMR (AVG)
- INF:RJump[Trj](Открыть!)
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ Мук, Нейт (17 октября 2006 г.). «Apple поставляет iPod с вирусом Windows» . Бета-новости.
Во вторник Apple извинилась за поставку видео iPod, содержащих вирус Windows.
- ^ «Профиль вируса: W32/RJump.worm» . Макафи. 20 июня 2006 г.
- ^ «Что msvcr71.dll делает на моем компьютере?» . Библиотека процессов.
Внешние ссылки
[ редактировать ]В алфавитном порядке по издателям:
- «История файлов описаний вирусов AVIRA» . Авира . 23 октября 2006 г. W32/RJump. Архивировано из оригинала 11 сентября 2007 года.
- "W32/RJump.червь" . Макафи . 20 июня 2006 г. W32/RJump. Архивировано из оригинала 3 сентября 2006 года.
- «Трой/Бдор-DIJ» . Софос . W32/RДжамп. Архивировано из оригинала 5 ноября 2006 года.
- «W32.Раджамп» . Симантек. 23 июня 2006 г. W32/RJump. Архивировано из оригинала 10 февраля 2007 года.
- "WORM_SIWEOL" . Тренд Микро . 15 ноября 2016 г. W32/RJump. Архивировано из оригинала 2 декабря 2006 года.