RavMonE.exe

RavMonE, conocido más correctamente como "RJump", es un troyano informático que abre una puerta trasera en los equipos que ejecutan Microsoft Windows. Una vez que el ordenador está infectado, el virus permite a los usuarios no autorizados de acceder a los contenidos de la computadora. Esto plantea un riesgo de seguridad para el usuario de la máquina infectada, ya que el atacante puede robar información personal y utilizar la computadora como un punto de acceso en una red interna.

RavMonE se hizo famoso el 12 de septiembre de 2006, cuando una serie de vídeos del iPod se enviaba con el virus ya instalado.^[1]​^[2]​ Debido a que el virus sólo infecta ordenadores con Windows, se puede inferir que el fabricante contratado de Apple no hizo uso de computadoras Macintosh. Apple llegó objeto de algunas críticas públicas por la liberación de los virus con su producto.

Descripción

RavMonE es un gusano informático escrito en el lenguaje de script Python y se convierte en un archivo ejecutable de Windows con la herramienta Py2Exe.^[3]​ Intenta propagarse copiándose a unidades de almacenamiento mapeadas y extraíbles. Se puede transmitir por abrir archivos adjuntos de correo electrónico infectados y descarga de archivos infectados de Internet. También se puede propagar a través de los medios extraíbles, como CD-ROM, memoria flash, cámaras digitales y reproductores multimedia.

La mayoría de los programas antivirus identifican RavMonE.exe como malware, por ejemplo Kapersky lo identifica como un Worm.Win32.RJump.a, y TrendMicro lo identifica como un WORM_RJUMP.A.^[4]​

Acción

Una vez que el virus se ejecuta, realiza las siguientes tareas:

1. Se copia a sí mismo en %WINDIR% como RavMon.exe o, RavMonE.exe o, AdobeR.exe,^[5]​
2. Se agrega el valor "RavAV" = "%WINDIR%\RavMonE.exe" en el registro de Windows como HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,^[4]​^[5]​^[6]​
3. Abre un puerto aleatorio y acepta comandos de direcciones remotas,^[4]​^[5]​^[6]​
4. Se crea un archivo de registro RavMonLog para almacenar el número de puerto,^[5]​
5. Publica una solicitud HTTP para asesorar al atacante sobre la dirección IP del equipo infectado y el número del puerto abierto.^[5]​

Cuando un dispositivo de almacenamiento extraíble está conectado al ordenador infectado copia los siguientes archivos en el dispositivo:

• autorun.inf:^[5]​ una secuencia de comandos para ejecutar el gusano la próxima vez que el dispositivo está conectado a un ordenador,
• msvcr71.dll:^[5]​ un módulo Microsoft C Runtime Library que contiene las funciones estándar tales como copiar en la memoria e imprimir en su consola,
• ravmon.exe:^[5]​ una copia del gusano.

Alias de los diferentes antivirus

• Backdoor.Rajump (Symantec)
• W32/Jisx.A.worm (Panda Security)
• W32/RJump-C (Sophos)
• W32/RJump.A!worm (Fortinet)
• Win32/RJump.A (ESET NOD32 Antivirus y ESET Smart Security)
• Win32/RJump.A!Worm (CA)
• Worm.RJump.A (BitDefender)
• Worm.Win32.RJump.a (Kaspersky Lab)
• Worm/Rjump.E (Avira)
• WORM_SIWEOL.B (TrendMicro)
• Worm/Generic.AMR (AVG)
• INF:RJump[Trj](Avast!)

Referencias

1. Apple ships iPods with Windows virus Beta News. Consultado el 25 de noviembre de 2012.
2. Small Number of Video iPods Shipped With Windows Virus Apple Suport. Consultado el 25 de noviembre de 2012.
3. RJump Worm McAffe. Consultado el 25 de noviembre de 2012.
4. RavMonW.exe El Archivo. Consultado el 25 de noviembre de 2012.
5. Win32/R.Jump.A ESET, Treath Encyclopedia. Consultado el 25 de noviembre de 2012.
6. RavMonE.exe File.net. Consultado el 25 de noviembre de 2012.

Enlaces externos

• RJump.A: Vs Antivirus. Propagación y métodos de limpieza.