VírusWorm/Myfip.I.1
Data em que surgiu:21/07/2005
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:68.608 Bytes
MD5 checksum:872b439292106a22e91983cb3c860c4d
Versão VDF:6.30.0.62

 Vulgarmente Meio de transmissão:
   • Rede local


Alias:
   •  Symantec: W32.Myfip.T
   •  Mcafee: W32/Myfip.worm.q
   •  Kaspersky: Worm.Win32.Myfip.m
   •  TrendMicro: WORM_MYFIP.M
   •  Grisoft: Worm/Myfip.N
   •  VirusBuster: Worm.Myfip.S


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Informação de roubos

 Ficheiros Autocopia-se para a seguinte localização:
   • %SYSDIR%\kernel32dll.exe

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Distributed File System"="kernel32dll.exe"

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.

Envia cópias de si próprio às seguintes partilhas de rede:
   • ipc
   • Admin\system32


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– A seguinte lista de palavras-chave:
   • Administrator; administrator; admin; Admin; administrator123;
      admin123456; administrator123456; administratorpasswd; adminpasswd;
      adminpwd; adminpasswd; password; Password; 12345; 123456; 1234567;
      12345678; 123456789; 87654321; 7654321; 654321; 54321; 000000; passwd;
      Passwd; 00000000; 007007; !@; $%; !@; $%; !@; $%; !@; $%; daemon;
      nobody; noaccess; freedom; 1a2b3c; 1p2o3i; 1q2w3e; 1qw23e; 1sanjose;
      4runner; 888888; 99999999; a12345; a1b2c3; a1b2c3d4; aaaaaa; abc123;
      abcd1234; abcde; abcdef; abcdefg; access; action; active; mypc123;
      admin123; pw123; mypass; mypass123; asdfg; asdfgh; asdfghjk; asdfjkl;
      asdfjkl;; hacker; zxcvb; zxcvbnm; test1; test123; telecom; superman;
      support; super; ssssss; spring; sprite; spirit; playboy; planet;
      pizza; pentium; newpass; morris; loveyou; storm; fuckyou; warez;
      guest; shotgun; access; parol; upload; qwerty; ytrewq; share;


 Backdoor É aberta a seguinte porta:

%ficheiro executado%.exe numa porta TCP 34330 Por forma a fornecer um servidor FTP.

 Introdução de código viral noutros processos – Introduz-se a si próprio num processo.

    Nome do processo:
   • explorer.exe

   Se o malware falhar, continua a ser executado como um processo.

 Informações diversas Mutex:
Cria o seguinte Mutex:
   • Meteo/EA[DCA]

 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • PE Pack 1.0

Descrição enviada por Catalin Jora em quarta-feira, 3 de agosto de 2005
Descrição atualizada por Catalin Jora em sexta-feira, 19 de agosto de 2005

Voltar . . . .