Nom:Worm/Rjump.E
La date de la découverte:23/06/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Moyen
Fichier statique:Non
Taille du fichier:~3.500.000 Octets
Version VDF:6.35.00.61

 Général Les alias:
   •  Mcafee: BackDoor-DIJ W32/RJump.worm
   •  Kaspersky: Worm.Win32.RJump.a Worm.Win32.RJump.b
   •  F-Secure: Worm.Win32.RJump.a Worm.Win32.RJump.b
   •  Sophos: Troj/RJump-I W32/RJump-A W32/RJump-G
   •  Eset: Win32/RJump.A Win32/RJump.B
   •  Bitdefender: Worm.RJump.A Win32.Worm.RJump.F Worm.RJump.K


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il modifie des registres
   • Il vole de l'information
   • Il facilite l'accès non autorisé à l'ordinateur

 Fichiers Il crée sa propre copie en employant un nom de fichier des listes:
– A: %WINDIR%\ employant un des noms suivants:
   • AdobeR.exe
   • RavMonE.exe

– A: %lecteur%\ employant un des noms suivants:
   • AdobeR.exe
   • RavMonE.exe




Le fichier suivant est créé:

%lecteur%\AUTORUN.INF Ceci est un fichier texte non malveillant avec le contenu suivant:
   • %code faisant fonctionner les logiciels malveillants%

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavAV = %WINDIR%\RavMonE.exe
   • RavAV = %WINDIR%\AdobeR.exe

 Porte dérobée Le port suivant est ouvert:

%le fichier exécuté% sur un port TCP aléatoire afin de fournir de capacités de porte dérobée


Serveur de contact:
Un des suivants::
   • http://natrocket.kmip.net:5288/**********
   • http://natrocket.9966.org:5288/**********
   • http://scipaper.kmip.net/**********

En conséquence il peut envoyer de l'information. Ceci est fait par l'intermédiaire de la requête HTTP GET du script PHP.


Il envoie de l'information au sujet de:
    • Nom de l'ordinateur
    • Port ouvert

Description insérée par Andrei Gherman le mardi 8 mai 2007
Description mise à jour par Andrei Gherman le mardi 8 mai 2007

Retour . . . .