VírusWorm/Rjump.E
Data em que surgiu:23/06/2006
Tipo:Worm
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:De baixo a médio
Nível de risco:Médio
Ficheiro estático:Não
Tamanho:~3.500.000 Bytes
Versão VDF:6.35.00.61

 Vulgarmente Alias:
   •  Mcafee: BackDoor-DIJ W32/RJump.worm
   •  Kaspersky: Worm.Win32.RJump.a Worm.Win32.RJump.b
   •  F-Secure: Worm.Win32.RJump.a Worm.Win32.RJump.b
   •  Sophos: Troj/RJump-I W32/RJump-A W32/RJump-G
   •  Eset: Win32/RJump.A Win32/RJump.B
   •  Bitdefender: Worm.RJump.A Win32.Worm.RJump.F Worm.RJump.K


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Altera o registo do Windows
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros Envia cópias de si mesmo usando um nome das listas seguintes:
– Para: %WINDIR%\ Usando um dos nomes seguintes:
   • AdobeR.exe
   • RavMonE.exe

– Para: %unidade%\ Usando um dos nomes seguintes:
   • AdobeR.exe
   • RavMonE.exe




É criado o seguinte ficheiro:

%unidade%\AUTORUN.INF É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • %código que executa malware%

 Registry (Registo do Windows) Um dos seguintes valores é adicionado para executar o processo depois reinicializar:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavAV = %WINDIR%\RavMonE.exe
   • RavAV = %WINDIR%\AdobeR.exe

 Backdoor É aberta a seguinte porta:

%ficheiro executado% numa porta TCP aleatória Por forma a fornecer capacidades backdoor.


Contacta o servidor:
Um dos seguintes:
   • http://natrocket.kmip.net:5288/**********
   • http://natrocket.9966.org:5288/**********
   • http://scipaper.kmip.net/**********

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Nome do computador
    • Porta aberta

Descrição enviada por Andrei Gherman em terça-feira, 8 de maio de 2007
Descrição atualizada por Andrei Gherman em terça-feira, 8 de maio de 2007

Voltar . . . .