RavMonE.exe - RavMonE.exe

RavMonE.Exe
Běžné jméno	RavMonE
Technický název	Win32.RJump.A
Aliasy	Rajump, Jisx, Siweol, Bdoor-DIJ
Rodina	RJump
Klasifikace	Virus
Typ	trojský
Podtyp	Červ
Izolace	Červen 2006
Bod izolace	Neznámý
Místo původu	Neznámý
Autoři	Neznámý

RavMonE, také známý jako RJump, je a trojský který otevírá a zadní dveře na běžících počítačích Microsoft Windows. Jakmile je počítač napaden, virus umožňuje neoprávněným uživatelům získat přístup k obsahu počítače. To pro uživatele infikovaného počítače představuje bezpečnostní riziko, protože útočník může ukrást osobní údaje a použít počítač jako přístupový bod do interní síť.

RavMonE se proslavil v září 2006, kdy řada iPod videa byly odeslány s již nainstalovaným virem.^[1] Protože virus infikuje pouze počítače se systémem Windows, lze z toho usoudit Apple smluvní výrobce nepoužíval počítače Macintosh. Apple se dostal pod určitou veřejnou kritiku za uvolnění viru svým produktem.

Popis

RavMonE je červ napsáno v Krajta skriptovací jazyk a byl převeden do spustitelného souboru Windows pomocí nástroje Py2Exe.^[2] Pokouší se šířit kopírováním na mapované a vyměnitelné úložné jednotky. Lze jej přenášet otevřením infikovaných příloh e-mailů a stažením infikovaných souborů z Internetu. Může se také šířit prostřednictvím vyměnitelných médií, jako je CD-ROM, flash paměť, digitální fotoaparáty a multimediální přehrávače.

Akce

Jakmile je virus spuštěn, provede následující úkoly.

Zkopíruje se na% WINDIR% jako RavMonE.exe.
Přidává hodnotu "RavAV" = "% WINDIR% RavMonE.exe" do registr klíč HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun.
Otevírá náhodně přístav a přijímá vzdálené příkazy.
Vytvoří soubor protokolu RavMonLog pro uložení čísla portu.
Zveřejňuje a HTTP požadavek poradit útočníkovi infikovaného počítače IP adresa a číslo otevřeného portu.

Když je k infikovanému počítači připojeno vyměnitelné úložné zařízení, zkopíruje do tohoto zařízení následující soubory:

autorun.inf - skript k provedení červa při příštím připojení zařízení k počítači
msvcr71.dll - v případě, že cílové zařízení tuto podporu postrádá, Microsoft C. Runtime knihovna modul obsahující standardní funkce, jako je kopírování paměti a tisk na konzolu^[3]
ravmon.exe - kopie červa

Aliasy

Backdoor.Rajump (Symantec)
W32 / Jisx.A. červ (Panda)
W32 / RJump-C (Sophos)
Červ W32 / RJump.A! (Fortinet)
Win32 / RJump.A (ESET)
Win32 / RJump.A! Worm (CA)
Worm.RJump.A (BitDefender)
Worm.Win32.RJump.a (Kaspersky)
Worm / Rjump.E (Avira)
WORM_SIWEOL.B (TrendMicro)
Červ / Obecná AMR (AVG)
INF: RJump [Trj] (Avast!)

Viz také

Seznam počítačových virů (L-R)

Reference

^ Mook, Nate (17. října 2006). „Apple dodává iPod s Windows Virus“. Beta novinky. Apple se v úterý omluvil za zasílání video iPodů obsahujících virus Windows
^ "Virový profil: W32 / RJump.worm". McAfee. 20. června 2006.
^ "Co dělá msvcr71.dll na mém počítači?". ProcessLibrary.

externí odkazy

Abecedně podle vydavatele:

"Historie souborů s definicemi virů AVIRA". Avira. 23. října 2006. W32 / RJump. Archivovány od originál dne 11. září 2007.
„W32 / RJump.worm“. McAfee. 20. června 2006. W32 / RJump. Archivovány od originál 3. září 2006.
„Troj / Bdoor-DIJ“. Sophos. W32 / RJump. Archivováno od originálu 5. listopadu 2006.
"W32.Rajump". Symantec. 23. června 2006. W32 / RJump.
„WORM_SIWEOL“. Trend Micro. 15. listopadu 2016. W32 / RJump. Archivovány od originál 2. prosince 2006.

[1] Mook, Nate (17. října 2006). „Apple dodává iPod s Windows Virus“. Beta novinky. Apple se v úterý omluvil za zasílání video iPodů obsahujících virus Windows

[2] "Virový profil: W32 / RJump.worm". McAfee. 20. června 2006.

[3] "Co dělá msvcr71.dll na mém počítači?". ProcessLibrary.

[1]

[2]

[3]