RavMonLog.exe en mi disco duro externo

[loen.deneff]

Hola, buenas tardes, cada vez que conecto mi disco duro externo `me aparece un archivo que creo que es un virus. Lo elimino y luego vuelve a salir.



Se llama RavMonLog.exe y tiene un tamaño de 5 bytes y una capacidad de 1kb.



Lanzo el elistara y remito el info??



Muchas gracias.



Por cierto para eliminar archivos temporales que programa es?

[msc hotline sat]

Es un malware del que no hemos tenido incidencias, pero que es conocido especialmente por ser de los que infecta y se propaga a traves de pendrives (memorias USB), y especialmnet este informan que Apple lo incluye en sus IPOD :


[quote="VSAntivirus"]


[size=167][b]RJUMP.A[/b][/size]

_____________________________________________________________



1 - Apple incluye un gusano de Windows en su iPod Video

_____________________________________________________________



http://www.vsantivirus.com/18-10-06.htm



Apple incluye un gusano de Windows en su iPod Video



Por Angela Ruiz

angela@videosoft.net.uy



Apple se disculpó este martes por haber enviado una partida

de su nuevo iPod con soporte de video, conteniendo el gusano

de Windows que ESET NOD32 detecta como Win32/RJump.A.



El gusano se encuentra en un archivo llamado RavMonE.exe, y

fue incluido por error, aparentemente en una pequeña cantidad

de dispositivos, "alrededor del uno por ciento de las

unidades enviadas a la venta después del 12 de setiembre de

2006," según la compañía.



Este gusano solo afecta equipos con Windows, y cuando se

ejecuta, es capaz de abrir puertos de conexión a Internet,

que eluden al cortafuego integrado del propio Windows,

permitiendo el envío de información a usuarios remotos,

mediante la conexión a determinados sitios Web.



El gusano propiamente dicho, es considerado como de poco

riesgo, y como tampoco es nuevo, se supone que es fácilmente

detectable por la mayoría de los productos antivirus.



"Hasta ahora hemos visto menos de 25 reportes relacionados

con este problema. No son afectados iPod nano, iPod shuffle,

ni el sistema operativo Mac OS X, y ahora todos los iPods

Video enviados están libres de virus," dijo Apple en una

declaración publicada en su sitio de soporte.



La compañía aprovechó además la oportunidad para arremeter

contra el sistema operativo de Microsoft, "por no hacer un

mayor esfuerzo para proteger a sus clientes de tal malware."



"Como usted quizás se imagine, estamos disgustados con

Windows por no ser más duros contra tales virus, y más

disgustados aún con nosotros mismos por no haberlo

interceptado antes," dijo Apple.



Los propietarios de iPod que quizás puedan estar en riesgo

por este gusano, solo deben ejecutar su software antivirus

para eliminarlo.



"Cómo este gusano puede propagarse a través de dispositivos

de almacenamiento masivo [NOTA VSA: cualquier dispositivo que

al ser agregado a Windows tome una letra como asignación de

unidad], recomendamos que usted examine todos los

dispositivos que haya conectado recientemente a sus

computadoras bajo Windows, tales como discos duros externos,

cámaras digitales, memorias USB, etc.", agrega Apple.



Aunque Mac OS X no es afectado, el gusano puede almacenarse

en el dispositivo bajo este sistema. Apple hace notar que

aquellos usuarios que utilicen la característica de

restauración de iTunes 7 para borrar la información y el

software almacenados en el iPod, podrán conectarlos después a

computadoras con Windows sin otros problemas en el futuro.



La compañía no aclara en que momento del proceso de

producción, el gusano fue incluido en su producto.





* Relacionados:



RJump.A. Se propaga por dispositivos removibles

http://www.vsantivirus.com/rjump-a.htm





* Más información:



Small Number of Video iPods Shipped With Windows Virus

http://www.apple.com/support/windowsvirus/



Restoring Fifth Generation iPod (iPod with video)

http://docs.info.apple.com/article.html?artnum=304567





(c) Video Soft - http://www.videosoft.net.uy

(c) VSAntivirus - http://www.vsantivirus.com

_____________________________________________________________



2 - RJump.A. Se propaga por dispositivos removibles

_____________________________________________________________



http://www.vsantivirus.com/rjump-a.htm



Nombre: RJump.A

Nombre NOD32: Win32/RJump.A

Tipo: Gusano y caballo de Troya

Alias: RJump.A, Backdoor.Rajump, W32/Jisx.A.worm,

W32/RJump.A!worm, W32/RJump.worm, W32/RJump-C, Win32/RJump.A,

Win32/RJump.A!Worm, Worm.RJump.A, Worm.Win32.RJump.a,

Worm/Rjump.E, WORM_SIWEOL.B

Fecha: 6/jun/06

Actualizado: 17/oct/06

Plataforma: Windows 32-bit

Tamaño: 3,513,806 bytes



Este gusano con características de caballo de Troya que abre

un acceso por puerta trasera, puede propagarse copiándose a

dispositivos de almacenamiento masivo, incluyendo discos

duros externos, cámaras digitales, teléfonos celulares,

memorias USB, etc.



Aunque detectado desde junio de 2006, adquirió notoriedad en

octubre de 2006 cuando Apple incluyó por error una copia del

archivo del gusano en su producto iPod Video.



Cuando el gusano se ejecuta, crea los siguientes archivos en

el sistema infectado:



c:\windows\RavMon.exe

c:\windows\RavMonLog



RAVMONLOG contiene un listado de puertos que el componente

troyano del gusano usará para conectarse a Internet y enviar

información.



NOTA: La carpeta "c:\windows" puede variar de acuerdo al

sistema operativo instalado ("c:\winnt" en NT, "c:\windows",

en 9x, Me, XP, etc.).



También agrega la siguiente entrada en el registro, para

autoejecutarse en cada reinicio de Windows:



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

RavAV = "c:\windows\RavMon.exe"



Utiliza el comando NETSH de Windows, para intentar eludir el

firewall integrado de Windows XP agregando una excepción a un

puerto TCP al azar (el parámetro "firewall" solo funciona en

SP2):



c:\windows\system32\cmd.exe /c

netsh firewall add portopening TCP [puerto] NortonAV



El troyano intenta enviar información del equipo infectado a

un usuario remoto, realizando una conexión a uno de los

siguientes sitios de Internet:



http: // natrocket .9966 .org:5288/

http: // natrocket .kmip .net:5288/

http: // natrocket .kmip .net:5288/

http: // scipaper .kmip .net:80/



El gusano examina todas las unidades de disco mapeadas, fijas

y removibles (esto incluye los dispositivos de almacenamiento

masivo mencionados antes, que adquieren una letra de unidad

al ser conectados a Windows), y crea los siguientes archivos

en el directorio raíz de cada una de ellas:



autorun.inf

msvcr71.dll

ravmone.exe



El archivo AUTORUN.INF contiene la información para ejecutar

el archivo RAVMONE.EXE cada vez que el usuario intenta

acceder al raíz de una de las unidades mapeadas, o se

autoejecutan cuando una unidad removible es insertada.

MSVCR71.DLL es una biblioteca de Microsoft Visual Studio,

necesaria para el funcionamiento del gusano.



El contenido de AUTORUN.INF suele ser el siguiente:



[AutoRun]

open=RavMonE.exe e

shellexecute=RavMonE.exe e

shell\Auto\command=RavMonE.exe e

shell=Auto



NOTA: El archivo RAVMONE.EXE en ocasiones puede ser

RAVMON.EXE.





* Reparación manual



NOTA: Tenga en cuenta que debe aplicar el procedimiento de

limpieza a todas las unidades de almacenamiento masivo que

haya conectado a su computadora antes de detectar la

infección. Esto incluye cámaras digitales, teléfonos móviles,

discos duros removibles, memorias flash y USB, etc. Evite que

las mismas se autoejecuten al ser insertadas en el equipo

utilizado (ESET NOD32 le avisará de la infección, debiendo

aceptar la opción de eliminar el gusano cuando ésta

aparezca).


[/quote]



De entrada, para y desarrollar la utilidad de control y eliminacion, envienos estos ficheros y los analizaremos:



c:\windows\RavMon.exe

c:\autorun.inf

c:\ravmone.exe



para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Tras ello puede renombrar siu extension a .VIR y tras reiniciar el virus esatrá aparcado sin progresar, pero CUIDADO NO INSERTE NINGUN PENDRIVE, pues los debe tener todos infectados y su simple insercion volvería a infectar el ordenador.



En cuanto tengamos la utilidad hecha, será cuestion de probarla sobre la unidad de Disco duro y sobre la de memoria USB, si bien teniendo la precaucion de lanzar la utilidad EXPLORANDO la unidad USB pero pulsando la tecla SHIFT al insertar el pendrive para que no se ejecute su AUTORUN, sino infectariamos el disco duro y entraríamos en un circulo vicioso, o mejor dicho infeccioso !



Envienos las muestras pedidass, renombre a .VIR las extensiones de los ficheros en cuestion y tras reiniciar ya tendrá el virus aparcado, hasta nuevo aviso, pero no toque los pendrive !!!



saludos



ms, 30-04-2007

[loen.deneff]

Como envio los ficheros que se piden? No debo lanzar algun programa?



Estoy buscandolos pero no los encuentro.



Por cierto para desinfectar el disco duro que debo hacer sino lo contecto al portatil

[msc hotline sat]

COmo enviarlo ya te lo indicabamos en el post de respuesta anterior:



"para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334 "



El que no los encuentres pudiera ser porque estuvieran ocultos:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245





y su ultima pregunta nos descoloca !!!, Si no lo conecta a un ordenador como va a localizar los ficheros para enviarnos ???



Una vez tengamos los ficheros ya implementaremos su control y eliminacion con nuestras utilidades, con la que eliminar el malware de disco duro externo, portatil y pendrives, no te los olvides que son el medio de propagacion para el mismo.



saludos



ms, 2 de Mayo de 2007

[loen.deneff]

HOla, buenas, lo que nunca me acuerdo es de lo que tengo que enviar. Se que lo tengo que enviar mediante email. Pero no se bien el que.



Si me dices:



De entrada, para y desarrollar la utilidad de control y eliminacion, envienos estos ficheros y los analizaremos:



c:\windows\RavMon.exe

c:\autorun.inf

c:\ravmone.exe



Entonces, tengo que buscar estos ficheros en el disco local y los remito dentro de un ZIP /RAR a esa direccion. Es eso exactamente lo que tengo que hacer.





Muchas gracias por vuestra ayuda.



Tardare en poder hacerlo ya que durante unos dias no dispondre de internet en el portatil.

[msc hotline sat]

No, en tu caso no es en C:, sino en la unidad extraible, claro, si ya tienes un disco duro será D o la que sea.



De alli sacar los ficheros indicados y enviarlos segun se indica:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 2 de mayo de 2007

[loen.deneff]

Hola, ya he enviado las muestras. me podeis decir si es eso lo que debia enviar. Muchas gracias



saludos

[msc hotline sat]

Deciamos :



"De entrada, para y desarrollar la utilidad de control y eliminacion, envienos estos ficheros y los analizaremos:



c:\windows\RavMon.exe

c:\autorun.inf

c:\ravmone.exe "



Lamentablemente no hemos recibido los ficheros pedidos. No has enviado ningun .exe, y efectivamente, el autorun.inf es malicioso ya que quiere lanzar el RAVMON.EXE, pero si no nos envias el fichero o mejor dicho, los ficheros .EXE en cuestion, nada podemos hacer



Mientras puedes eliminar este AUTORUN.INF de todas las unidades, especialmente de los pendrives, para que no ejecuten el virus al insertarlos en el PC, pero hay que ver lo que hace en el disco duro, que para esto pedimos las muestras.



Esperamos nos las envies !



saludos



ms, 4 de mayo de 2006



nota:_ Fiarse en lo que ejeucta el AUTORUN.INF:



[AutoRun]

open=

shellexecute=

shell\Auto\command=RavMon.exe e

shell=Auto



el cual de entrada el antivirus de McAfee ya detecta el W32/Fujacks.inf



Ojo, el fichero infectado ha de tener un tamaño de 3,513,806 bytes , asi que lo de 5 bytes... :roll:



Es posible que se hayan movido a C:\muestras (por si no lo encuentras)

[loen.deneff]

Hola, he eliminado todos los autorun.inf y ahora parece que ya vaya correctamente. Todo lo que dice que haga no me aclaro muy bien, la verdad es que soy algo patosa. no se que debo enviar despues de buscar y buscar no encuentro lo que se me dice

[msc hotline sat]

Sí, para poder controlar el gusano, aparte de eliminar los AUTORUN.INF que los lanza (no te olvides de los Pendrive), hemos de analizar los ficheros indicados.



Para ello Haz un Inicio - Buscar -> Todas las carpetas y ficheros -> RavMon*.exe



Los que encuentres son los que debes enviarnos para analizar:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Y cuidado al tratar de eliminar los AUTORUN.INF en los pendrives, QUE POR EL SOLO HECHO DE INSERTARLOS YA INFECTARIAN EL ORDENADOR !!! Para evitarlo, cuando los insertes hazlo pulsando simultaneamente SHIFT y asi se evita la autoejecucion del AUTORUN.INF (como en los CD)



saludos



ms, 9-05-2007

[hduran]

Quisiera que me aclararan algo.

El gusano RavMon que se encuentra en el PC, puede infectar a cualquier dispositivo USB que se conecte.

De igual forma cualquier dispositivo USB infectado puede infectar un PC.

Es asi como funciona esto?, Entonces como se debe eliminar?, primero del USB y despues del PC?



Gracias.

[lucl]

Como te indica Msc, te copio



[b]Y cuidado al tratar de eliminar los AUTORUN.INF en los pendrives, QUE POR EL SOLO HECHO DE INSERTARLOS YA INFECTARIAN EL ORDENADOR !!! Para evitarlo, cuando los insertes hazlo pulsando simultaneamente SHIFT y asi se evita la autoejecucion del AUTORUN.INF (como en los CD) [/b]





Asi que limpia el usb, y el pc entero claro esta, saludos

[reddd]

A mi no me deja adjuntar la informacion. no se como se pone la contraseña al .rar y me lo detecta el antivirus del yahoo.



Ya esta implementado en alguna herramienta el mecanismo para borrar el virus?. yo hice lo de borrar el autorun i renombrar el virus y luego este lo borre tambien. Formatee el usb y pista.



Esta listo asi?

[msc hotline sat]

La contraseña con el WINRAR se pone entrando en OPCIONES AVANZADAS, alli le seleccionas empaquetar con password y para el mismo utilizas la palabra VIRUS



saludos



ms, 14-06-2007



Nota: Cuando tengamos el fichero .EXE pedido como muestra para analizar, podremos hacer la utilidad de control y eliminacion, claro. ms.

[ravmon]

ante todo mis saludos.. y si porfavor si alguien me pudiera ayudar les cuento mi usb estaba infectado con este virus RAVMON.EXE (me supongo infectado de una cabina de intenet) al poner en la computadora y cuando hise click derecho a la barra donde aparece lo normal que es ABRIR , EXPLORAR.... aparecio unas letras jeroglificas extrañas pues hise click y lamentablemnete el disco duro se habia infectado con este virus... el problema se hiso mas grave ya que este virus no me premitia ni reparando con el cd de windows ya que corria normal hasta que cuando debia aparecer reparar xp "que es lo normal " no salia asi se colgaba y aparecia puros numero ceros algo asi .......

000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000

en toda la pantalla pues ahora EL PROBLEMA ENPEORO esta PEOR LA MAQUINA ya que nisiquiera aparece la pantalla de la bios eso q te indica q presione F2 pero nada no se ahora que voy a ser porque estaba esperansado en formatear atraves de un disco de arranque win98/xp pero no puedo ni entrara a la BIOS para bootear del dikette que puedo ??? ...

NOTA: se que es un virus ramon.exe ya que este habia sido detectado por el nod32 pero en otra compu que estaba en mi usb o y tambien saltan en los disket que son insertado en la maquina infectada..

espero recibir una ayuda se lo agradeceria mucho..

[msc hotline sat]

Saque cualquier pendrive que tenga insertado, coloque el CD de instalacion y arranque el equipo.



Si asi no sale nada en pantalla, o es problema del monitor, de la lectora o ya de la CPU (o del CD claro)



Dinos el resultado, gracias



saludos



ms, 26-08-2007