Name:Worm/Rjump.E
Entdeckt am:23/06/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig bis mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigröße:~3.500.000 Bytes
VDF Version:6.35.00.61

 General Aliases:
   •  Mcafee: BackDoor-DIJ W32/RJump.worm
   •  Kaspersky: Worm.Win32.RJump.a Worm.Win32.RJump.b
   •  F-Secure: Worm.Win32.RJump.a Worm.Win32.RJump.b
   •  Sophos: Troj/RJump-I W32/RJump-A W32/RJump-G
   •  Eset: Win32/RJump.A Win32/RJump.B
   •  Bitdefender: Worm.RJump.A Win32.Worm.RJump.F Worm.RJump.K


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Änderung an der Registry
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\ Mit einem der folgenden Namen:
   • AdobeR.exe
   • RavMonE.exe

– An: %Laufwerk%\ Mit einem der folgenden Namen:
   • AdobeR.exe
   • RavMonE.exe




Es wird folgende Datei erstellt:

%Laufwerk%\AUTORUN.INF Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • %Programmcode, der Malware startet%

 Registry Einer der folgenden Werte wird dem Registry key hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavAV = %WINDIR%\RavMonE.exe
   • RavAV = %WINDIR%\AdobeR.exe

 Hintertür Der folgende Port wird geöffnet:

%ausgeführte Datei% an einem zufälligen TCP port um Backdoor Funktion zur Verfügung zu stellen.


Kontaktiert Server:
Einer der folgenden:
   • http://natrocket.kmip.net:5288/**********
   • http://natrocket.9966.org:5288/**********
   • http://scipaper.kmip.net/**********

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen über:
    • Computername
    • Geöffneter Port

Die Beschreibung wurde erstellt von Andrei Gherman am Dienstag, 8. Mai 2007
Die Beschreibung wurde geändert von Andrei Gherman am Dienstag, 8. Mai 2007

zurück . . . .