RavMonE.exe
RavMonE, pazīstams arī kā RJump, ir datorvīruss, Trojas zirgs, kas dod iespēju apiet Windows drošību. Kad dators ir inficēts, vīruss atļauj neautorizētiem lietotājiem piekļūt datora resursiem. Tas rada konfidenciālās informācijas nozagšanas draudus.
RavMonE kļuva pazīstams 2006. gada septembrī, kad daļa no pārdotajiem iPod video atskaņotājiem jau bija inficēti. Tā kā vīruss inficē tikai Windows datorus, Apple tika kritizēts par inficētu produktu pārdošanu.
Darbība
[labot šo sadaļu | labot pirmkodu]Kad vīruss ir iedarbināts, tas veic sekojošās darbības:
- Pārkopē sevi uz
%WINDIR%kāRavMonE.exe. - Pievieno vērtību
"RavAV" = "%WINDIR%\RavMonE.exe"Windows reģistrāHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. - Tas atver nejaušu portu un atļauj attālināto piekļuvi.
- Tas izveido žurnāla failu
RavMonLog, kur glabā porta numuru. - Tas nosūta HTTP pieprasījumu, ar ko informē uzbrucēju par inficētā datora IP adresi un atvērtā porta numuru.
Kad inficētajam datoram tiek pieslēgta zibatmiņa (flash), tas iekopē sekojošos failus:
- autorun.inf — skripts, kas iedarbina vīrusu nākamreiz, kad ierīce tiks pieslēgta pie datora;
- msvcr71.dll — Microsoft C Runtime Library modulis, kas satur standarta funkcijas, piemēram, atmiņas kopēšanu;
- ravmon.exe — vīrusa kopija
Citi nosaukumi
[labot šo sadaļu | labot pirmkodu]- Backdoor.Rajump (Symantec)
- W32/Jisx.A.worm (Panda)
- W32/RJump-C (Sophos)
- W32/RJump.A!worm (Fortinet)
- Win32/RJump.A (ESET)
- Win32/RJump.A!Worm (CA)
- Worm.RJump.A (BitDefender)
- Worm.Win32.RJump.a (Kaspersky)
- Worm/Rjump.E (Avira)
- WORM_SIWEOL.B (TrendMicro)
- Worm/Generic.AMR (AVG)