Имя:Worm/Rjump.E
Обнаружен:23/06/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:От низкого до среднего
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:~3.500.000 байт.
Версия VDF:6.35.00.61

 Общее Псевдонимы (аliases):
   •  Mcafee: BackDoor-DIJ W32/RJump.worm
   •  Kaspersky: Worm.Win32.RJump.a Worm.Win32.RJump.b
   •  F-Secure: Worm.Win32.RJump.a Worm.Win32.RJump.b
   •  Sophos: Troj/RJump-I W32/RJump-A W32/RJump-G
   •  Eset: Win32/RJump.A Win32/RJump.B
   •  Bitdefender: Worm.RJump.A Win32.Worm.RJump.F Worm.RJump.K


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Изменение реестра
   • Похищает информацию
   • Позволяет несанкционированно подключиться к компьютеру

 Файлы Создает собственные копии с именами файлов из списков
– Кому: %WINDIR%\ С одним из следующих имен:
   • AdobeR.exe
   • RavMonE.exe

– Кому: %Диск%\ С одним из следующих имен:
   • AdobeR.exe
   • RavMonE.exe




Создается файл:

%Диск%\AUTORUN.INF Файл является безвредным текстовым файлом со следующим содержимым:
   • %код, исполняющий вредоносную программу%

 Реестр Для повторного запуска процесса после перезагрузки системы одно из следующих значений добавляется к ключу реестра.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • RavAV = %WINDIR%\RavMonE.exe
   • RavAV = %WINDIR%\AdobeR.exe

 Backdoor Открывается порт:

%выполненный файл% к произвольному TCP порту для обеспечения backdoor функции.


Устанавливает соединение с сервером
Один из следующих:
   • http://natrocket.kmip.net:5288/**********
   • http://natrocket.9966.org:5288/**********
   • http://scipaper.kmip.net/**********

В результате может пересылаться информация. Это происходит с помощью HTTP GET запроса PHP скрипта.


Передает информацию о:
    • Имя компьютера
    • Открытый порт

Описание добавил Andrei Gherman в(о) вторник, 8 мая 2007 г.
Описание обновил Andrei Gherman в(о) вторник, 8 мая 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.