Имя:Worm/Myfip.I.1
Обнаружен:21/07/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:68.608 байт.
Контрольная сумма MD5:872b439292106a22e91983cb3c860c4d
Версия VDF:6.30.0.62

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Myfip.T
   •  Mcafee: W32/Myfip.worm.q
   •  Kaspersky: Worm.Win32.Myfip.m
   •  TrendMicro: WORM_MYFIP.M
   •  Grisoft: Worm/Myfip.N
   •  VirusBuster: Worm.Myfip.S


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает вредоносные файлы
   • Похищает информацию

 Файлы Создается собственная копия:
   • %SYSDIR%\kernel32dll.exe

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Distributed File System"="kernel32dll.exe"

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.

Копия объекта помещается в следующие сетевые ресурсы общего доступа:
   • ipc
   • Admin\system32


Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Список паролей:
   • Administrator; administrator; admin; Admin; administrator123;
      admin123456; administrator123456; administratorpasswd; adminpasswd;
      adminpwd; adminpasswd; password; Password; 12345; 123456; 1234567;
      12345678; 123456789; 87654321; 7654321; 654321; 54321; 000000; passwd;
      Passwd; 00000000; 007007; !@; $%; !@; $%; !@; $%; !@; $%; daemon;
      nobody; noaccess; freedom; 1a2b3c; 1p2o3i; 1q2w3e; 1qw23e; 1sanjose;
      4runner; 888888; 99999999; a12345; a1b2c3; a1b2c3d4; aaaaaa; abc123;
      abcd1234; abcde; abcdef; abcdefg; access; action; active; mypc123;
      admin123; pw123; mypass; mypass123; asdfg; asdfgh; asdfghjk; asdfjkl;
      asdfjkl;; hacker; zxcvb; zxcvbnm; test1; test123; telecom; superman;
      support; super; ssssss; spring; sprite; spirit; playboy; planet;
      pizza; pentium; newpass; morris; loveyou; storm; fuckyou; warez;
      guest; shotgun; access; parol; upload; qwerty; ytrewq; share;


 Backdoor Открывается порт:

%выполненный файл%.exe по TCP порту 34330 для обеспечения FTP сервера.

 Инфицирование – Объект внедряется в процесс.

    Имя процесса:
   • explorer.exe

   При неудачном выполнении процесс вредоносной программы остется активным.

 Разное Мьютекс:
Создается мьютекс:
   • Meteo/EA[DCA]

 Данные файла Язык программирования:
 Программа была написана на MS Visual C++.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • PE Pack 1.0

Описание добавил Catalin Jora в(о) среда, 3 августа 2005 г.
Описание обновил Catalin Jora в(о) пятница, 19 августа 2005 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.