RavMonE.exe - RavMonE.exe

RavMonE.Exe
Распространенное имя	RavMonE
Техническое название	Win32.RJump.A
Псевдонимы	Rajump, Jisx, Siweol, Bdoor-DIJ
Семья	RJump
Классификация	Вирус
Тип	Троян
Подтип	Червь
Изоляция	Июнь 2006 г.
Точка изоляции	Неизвестно
Начало координат	Неизвестно
Авторы)	Неизвестно

RavMonE, также известный как RJump, является Троян это открывает задняя дверь на компьютерах, работающих Майкрософт Виндоус. После заражения компьютера вирус позволяет неавторизованным пользователям получить доступ к содержимому компьютера. Это создает угрозу безопасности для пользователя зараженной машины, поскольку злоумышленник может украсть личную информацию и использовать компьютер в качестве точки доступа к компьютеру. внутренняя сеть.

RavMonE стал известен в сентябре 2006 года, когда ряд iPod видео поставлялись с уже установленным вирусом.^[1] Поскольку вирус заражает только компьютеры Windows, можно сделать вывод, что Apple контрактный производитель не использовал компьютеры Macintosh. Apple подверглась некоторой публичной критике за распространение вируса вместе с их продуктом.

Описание

RavMonE - это червь написано в Python язык сценариев и был преобразован в исполняемый файл Windows с помощью инструмента Py2Exe.^[2] Он пытается распространиться путем копирования на подключенные и съемные носители. Он может передаваться, открывая зараженные вложения электронной почты и скачивая зараженные файлы из Интернета. Его также можно распространять через съемные носители, такие как CD-ROM, флэш-память, цифровые фотоаппараты и мультимедийные плееры.

Действие

После запуска вирус выполняет следующие задачи.

Копирует себя в% WINDIR% как RavMonE.exe.
Это добавляет ценность "RavAV" = "% WINDIR% RavMonE.exe" к реестр ключ HKEY_LOCAL_MACHINESOFTWAREM MicrosoftWindowsCurrentVersionRun.
Он открывает случайный порт и принимает удаленные команды.
Создает файл журнала RavMonLog для хранения номера порта.
Он публикует HTTP-запрос сообщить злоумышленнику о зараженном компьютере айпи адрес и номер открытого порта.

Когда к зараженному компьютеру подключается съемное запоминающее устройство, оно копирует на это устройство следующие файлы:

autorun.inf - скрипт для запуска червя при следующем подключении устройства к компьютеру
msvcr71.dll - если на целевом устройстве эта поддержка отсутствует, Microsoft C Библиотека времени исполнения модуль, содержащий стандартные функции, такие как копирование памяти и печать на консоль^[3]
ravmon.exe - копия червя

Псевдонимы

Backdoor.Rajump (Symantec)
W32 / Jisx.A.worm (Панда)
W32 / RJump-C (Sophos)
W32 / RJump.A! Червь (Fortinet)
Win32 / RJump.A (ESET)
Win32 / RJump.A! Червь (CA)
Червь.RJump.A (BitDefender)
Worm.Win32.RJump.a (Касперский)
Червь / Rjump.E (Avira)
WORM_SIWEOL.B (TrendMicro)
Червь / Generic.AMR (AVG)
INF: RJump [Trj] (Avast!)

Смотрите также

Список компьютерных вирусов (L-R)

использованная литература

^ Мук, Нейт (17 октября 2006 г.). «Apple поставляет плееры iPod с вирусом для Windows». Бета-новости. Apple извинилась во вторник за доставку видео iPod, содержащих вирус Windows
^ "Профиль вируса: W32 / RJump.worm". McAfee. 20 июня 2006 г.
^ "Что делает msvcr71.dll на моем компьютере?". ProcessLibrary.

внешняя ссылка

По издателю в алфавитном порядке:

«История файлов определений вирусов AVIRA». Avira. 23 октября 2006 г. W32 / RJump. Архивировано из оригинал 11 сентября 2007 г.
"W32 / RJump.worm". McAfee. 20 июня 2006 г. W32 / RJump. Архивировано из оригинал 3 сентября 2006 г.
"Трой / Бдор-ДИДЖ". Sophos. W32 / RJump. В архиве из оригинала от 5 ноября 2006 г.
"W32.Rajump". Symantec. 23 июня 2006 г. W32 / RJump.
"WORM_SIWEOL". Trend Micro. 15 ноября 2016 г. W32 / RJump. Архивировано из оригинал 2 декабря 2006 г.

[1] Мук, Нейт (17 октября 2006 г.). «Apple поставляет плееры iPod с вирусом для Windows». Бета-новости. Apple извинилась во вторник за доставку видео iPod, содержащих вирус Windows

[2] "Профиль вируса: W32 / RJump.worm". McAfee. 20 июня 2006 г.

[3] "Что делает msvcr71.dll на моем компьютере?". ProcessLibrary.

[1]

[2]

[3]