Nome del virus:Worm/Myfip.I.1
Scoperto:21/07/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:68.608 Byte
Somma di controllo MD5:872b439292106a22e91983cb3c860c4d
Versione VDF:6.30.0.62

 Generale Metodo di propagazione:
   • Rete locale


Alias:
   •  Symantec: W32.Myfip.T
   •  Mcafee: W32/Myfip.worm.q
   •  Kaspersky: Worm.Win32.Myfip.m
   •  TrendMicro: WORM_MYFIP.M
   •  Grisoft: Worm/Myfip.N
   •  VirusBuster: Worm.Myfip.S


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file “maligni”
   • Sottrae informazioni

 File Si copia alla seguente posizione:
   • %SYSDIR%\kernel32dll.exe

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Distributed File System"="kernel32dll.exe"

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:

Fa più copie di se stesso nelle seguenti condivisioni di rete:
   • ipc
   • Admin\system32


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– La seguente lista di Password:
   • Administrator; administrator; admin; Admin; administrator123;
      admin123456; administrator123456; administratorpasswd; adminpasswd;
      adminpwd; adminpasswd; password; Password; 12345; 123456; 1234567;
      12345678; 123456789; 87654321; 7654321; 654321; 54321; 000000; passwd;
      Passwd; 00000000; 007007; !@; $%; !@; $%; !@; $%; !@; $%; daemon;
      nobody; noaccess; freedom; 1a2b3c; 1p2o3i; 1q2w3e; 1qw23e; 1sanjose;
      4runner; 888888; 99999999; a12345; a1b2c3; a1b2c3d4; aaaaaa; abc123;
      abcd1234; abcde; abcdef; abcdefg; access; action; active; mypc123;
      admin123; pw123; mypass; mypass123; asdfg; asdfgh; asdfghjk; asdfjkl;
      asdfjkl;; hacker; zxcvb; zxcvbnm; test1; test123; telecom; superman;
      support; super; ssssss; spring; sprite; spirit; playboy; planet;
      pizza; pentium; newpass; morris; loveyou; storm; fuckyou; warez;
      guest; shotgun; access; parol; upload; qwerty; ytrewq; share;


 Backdoor Viene aperta la seguente porta:

%file eseguiti%.exe sulla porta TCP 34330 con lo scopo di procurarsi un server FTP.

 Come il virus si inserisce nei processi – Si inserisce in un processo.

    Nome del processo:
   • explorer.exe

   Se il malware fallisce prosegue la sua esecuzione come processo.

 Varie Mutex:
Crea il seguente Mutex:
   • Meteo/EA[DCA]

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • PE Pack 1.0

Descrizione inserita da Catalin Jora su mercoledì 3 agosto 2005
Descrizione aggiornata da Catalin Jora su venerdì 19 agosto 2005

Indietro . . . .