Nom:Worm/Myfip.I.1
La date de la découverte:21/07/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:68.608 Octets
Somme de contrôle MD5:872b439292106a22e91983cb3c860c4d
Version VDF:6.30.0.62

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: W32.Myfip.T
   •  Mcafee: W32/Myfip.worm.q
   •  Kaspersky: Worm.Win32.Myfip.m
   •  TrendMicro: WORM_MYFIP.M
   •  Grisoft: Worm/Myfip.N
   •  VirusBuster: Worm.Myfip.S


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %SYSDIR%\kernel32dll.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Distributed File System"="kernel32dll.exe"

 Infection du réseau Afin de assurer sa propagation, le malware essaye de se connecter à d'autres machines comme décrit ci-dessous.

Il s'autocopie dans les partages réseau suivants:
   • ipc
   • Admin\system32


Il emploie les informations d'identification suivantes afin de gagner accès à la machine distante:

– La liste suivante de mots de passe:
   • Administrator; administrator; admin; Admin; administrator123;
      admin123456; administrator123456; administratorpasswd; adminpasswd;
      adminpwd; adminpasswd; password; Password; 12345; 123456; 1234567;
      12345678; 123456789; 87654321; 7654321; 654321; 54321; 000000; passwd;
      Passwd; 00000000; 007007; !@; $%; !@; $%; !@; $%; !@; $%; daemon;
      nobody; noaccess; freedom; 1a2b3c; 1p2o3i; 1q2w3e; 1qw23e; 1sanjose;
      4runner; 888888; 99999999; a12345; a1b2c3; a1b2c3d4; aaaaaa; abc123;
      abcd1234; abcde; abcdef; abcdefg; access; action; active; mypc123;
      admin123; pw123; mypass; mypass123; asdfg; asdfgh; asdfghjk; asdfjkl;
      asdfjkl;; hacker; zxcvb; zxcvbnm; test1; test123; telecom; superman;
      support; super; ssssss; spring; sprite; spirit; playboy; planet;
      pizza; pentium; newpass; morris; loveyou; storm; fuckyou; warez;
      guest; shotgun; access; parol; upload; qwerty; ytrewq; share;


 Porte dérobée Le port suivant est ouvert:

%le fichier exécuté%.exe sur le port TCP 34330 afin de fournir un serveur FTP

 L'injection du code viral dans d'autres processus – Il s'injecte dans un processus.

    Nom du processus :
   • explorer.exe

   Si le malware échoue, il continuera de fonctionner comme processus.

 Informations divers Mutex:
Il crée le Mutex suivant:
   • Meteo/EA[DCA]

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • PE Pack 1.0

Description insérée par Catalin Jora le mercredi 3 août 2005
Description mise à jour par Catalin Jora le vendredi 19 août 2005

Retour . . . .