Nome del virus:Worm/Rjump.E
Scoperto:23/06/2006
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Basso
Potenziale di danni:Medio
File statico:No
Dimensione del file:~3.500.000 Byte
Versione VDF:6.35.00.61

 Generale Alias:
   •  Mcafee: BackDoor-DIJ W32/RJump.worm
   •  Kaspersky: Worm.Win32.RJump.a Worm.Win32.RJump.b
   •  F-Secure: Worm.Win32.RJump.a Worm.Win32.RJump.b
   •  Sophos: Troj/RJump-I W32/RJump-A W32/RJump-G
   •  Eset: Win32/RJump.A Win32/RJump.B
   •  Bitdefender: Worm.RJump.A Win32.Worm.RJump.F Worm.RJump.K


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Modifica del registro
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Fa copie di se stesso utilizzando un nome file dalle liste
– A: %WINDIR%\ Utilizzando uno dei seguenti nomi:
   • AdobeR.exe
   • RavMonE.exe

– A: %unità disco%\ Utilizzando uno dei seguenti nomi:
   • AdobeR.exe
   • RavMonE.exe




Viene creato il seguente file:

%unità disco%\AUTORUN.INF Questo è un file di testo “non maligno” con il seguente contenuto:
   • %codice che avvia malware%

 Registro Uno dei seguenti valori viene aggiunto per eseguire il processo dopo il riavvio:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavAV = %WINDIR%\RavMonE.exe
   • RavAV = %WINDIR%\AdobeR.exe

 Backdoor Viene aperta la seguente porta:

%file eseguiti% su una porta TCP casuale con lo scopo di procurarsi delle possibili backdoor.


Contatta il server:
Uno dei seguenti:
   • http://natrocket.kmip.net:5288/**********
   • http://natrocket.9966.org:5288/**********
   • http://scipaper.kmip.net/**********

Come risultato può inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
    • Nome del computer
    • Porta aperta

Descrizione inserita da Andrei Gherman su martedì 8 maggio 2007
Descrizione aggiornata da Andrei Gherman su martedì 8 maggio 2007

Indietro . . . .