RavMonE, conocido más correctamente como "RJump", es un troyano informático que abre una puerta trasera en los equipos que ejecutan Microsoft Windows. Una vez que el ordenador está infectado, el virus permite a los usuarios no autorizados de acceder a los contenidos de la computadora. Esto plantea un riesgo de seguridad para el usuario de la máquina infectada, ya que el atacante puede robar información personal y utilizar la computadora como un punto de acceso en una red interna.
RavMonE se hizo famoso el 12 de septiembre de 2006, cuando una serie de vídeos del iPod se enviaba con el virus ya instalado.[1][2] Debido a que el virus sólo infecta ordenadores con Windows, se puede inferir que el fabricante contratado de Apple no hizo uso de computadoras Macintosh. Apple llegó objeto de algunas críticas públicas por la liberación de los virus con su producto.
Descripción
RavMonE es un gusano informático escrito en el lenguaje de script Python y se convierte en un archivo ejecutable de Windows con la herramienta Py2Exe.[3] Intenta propagarse copiándose a unidades de almacenamiento mapeadas y extraíbles. Se puede transmitir por abrir archivos adjuntos de correo electrónico infectados y descarga de archivos infectados de Internet. También se puede propagar a través de los medios extraíbles, como CD-ROM, memoria flash, cámaras digitales y reproductores multimedia.
La mayoría de los programas antivirus identifican RavMonE.exe
como malware, por ejemplo Kapersky lo identifica como un Worm.Win32.RJump.a
, y TrendMicro lo identifica como un WORM_RJUMP.A
.[4]
Acción
Una vez que el virus se ejecuta, realiza las siguientes tareas:
- Se copia a sí mismo en
%WINDIR%
como RavMon.exe
o, RavMonE.exe
o, AdobeR.exe
,[5]
- Se agrega el valor
"RavAV" = "%WINDIR%\RavMonE.exe"
en el registro de Windows como HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
,[4][5][6]
- Abre un puerto aleatorio y acepta comandos de direcciones remotas,[4][5][6]
- Se crea un archivo de registro
RavMonLog
para almacenar el número de puerto,[5]
- Publica una solicitud HTTP para asesorar al atacante sobre la dirección IP del equipo infectado y el número del puerto abierto.[5]
Cuando un dispositivo de almacenamiento extraíble está conectado al ordenador infectado copia los siguientes archivos en el dispositivo:
autorun.inf
:[5] una secuencia de comandos para ejecutar el gusano la próxima vez que el dispositivo está conectado a un ordenador,
msvcr71.dll
:[5] un módulo Microsoft C Runtime Library que contiene las funciones estándar tales como copiar en la memoria e imprimir en su consola,
ravmon.exe
:[5] una copia del gusano.
Alias de los diferentes antivirus
Referencias
Enlaces externos
- RJump.A: Vs Antivirus. Propagación y métodos de limpieza.