RavMonE, pazīstams arī kā RJump, ir datorvīruss, Trojas zirgs, kas dod iespēju apiet Windows drošību. Kad dators ir inficēts, vīruss atļauj neautorizētiem lietotājiem piekļūt datora resursiem. Tas rada konfidenciālās informācijas nozagšanas draudus.

RavMonE kļuva pazīstams 2006. gada septembrī, kad daļa no pārdotajiem iPod video atskaņotājiem jau bija inficēti. Tā kā vīruss inficē tikai Windows datorus, Apple tika kritizēts par inficētu produktu pārdošanu.

Kad vīruss ir iedarbināts, tas veic sekojošās darbības:

  1. Pārkopē sevi uz %WINDIR%RavMonE.exe.
  2. Pievieno vērtību "RavAV" = "%WINDIR%\RavMonE.exe" Windows reģistrā HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  3. Tas atver nejaušu portu un atļauj attālināto piekļuvi.
  4. Tas izveido žurnāla failu RavMonLog, kur glabā porta numuru.
  5. Tas nosūta HTTP pieprasījumu, ar ko informē uzbrucēju par inficētā datora IP adresi un atvērtā porta numuru.

Kad inficētajam datoram tiek pieslēgta zibatmiņa (flash), tas iekopē sekojošos failus:

  • autorun.inf — skripts, kas iedarbina vīrusu nākamreiz, kad ierīce tiks pieslēgta pie datora;
  • msvcr71.dll — Microsoft C Runtime Library modulis, kas satur standarta funkcijas, piemēram, atmiņas kopēšanu;
  • ravmon.exe — vīrusa kopija

Citi nosaukumi

labot šo sadaļu
  • Backdoor.Rajump (Symantec)
  • W32/Jisx.A.worm (Panda)
  • W32/RJump-C (Sophos)
  • W32/RJump.A!worm (Fortinet)
  • Win32/RJump.A (ESET)
  • Win32/RJump.A!Worm (CA)
  • Worm.RJump.A (BitDefender)
  • Worm.Win32.RJump.a (Kaspersky)
  • Worm/Rjump.E (Avira)
  • WORM_SIWEOL.B (TrendMicro)
  • Worm/Generic.AMR (AVG)