Worm.Win32_Myfip-T

Description Détails Désinfection
Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: Inconnue

Détails techniques:

Lorsqu'il est exécuté Myfip-T effectue les opérations suivantes :

1. Il se copie dans le répertoire %System% en tant que "kernel32dll.exe"

Note: '%System%' est une variable de localisation. Rbot-XE détermine le chemin du répertoire du système en effectuant une requête au système d'exploitation. Le répertoire System par défaut pour Windows 2000 et NT est C:\Winnt\System32; pour 95,98 et ME est C:\Windows\System; et pour XP est C:\Windows\System32.

2. Il créait le mutex "Meteo/EA[DCA]" afin qu'une seule version du ver ne soit exécutée sur la machine compromise.

3. Il ajoute les valeurs suivantes à la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Distributed File System" = "kernel32dll.exe"


4. Il se met à la recherche de partages réseaux. Il tente de se copier à l'ensemble des partages réseaux qu'il découvre en utilisant les noms de fichier suivants :

Admin$\system32\Dfsvc.exe
Admin$\system32\temp.txt


5. Il dépose le ver Myfip-A sur le système :

Admin$\system32\temp.exe

6. Il s'enregistre en tant que service nommé "Distributed Link Tracking Extensions", si le fichier "temp.exe" est exécuté.

7. Il tente de se connecter aux partages réseaux en tant qu'"Administrateur" en utilisant les mots de passe suivants :

administrator
Administrator
administrator
admin
Admin
administrator123
admin123456
administrator123456
administratorpasswd
adminpasswd
adminpwd
pwd
adminpasswd
password
Password
123
1234
12345
123456
123456712345678
123456789
87654321
7654321
654321
54321
111
000000
passwd
Passwd
00000000
0007
007
0070070246
0249
!@#$%
!@#$%^
!@#$%^&!@#$%^&*
root
daemon
bin sys
adm
lp
nobody
noaccess
freedom
1a2b3c
1p2o3i
1q2w3e
1qw23e
1sanjose
2004
2222
369
4444
love
sexgod
4runner
777
7777
888888
911
99999999
@#$%^&
a12345
a1b2c3
a1b2c3d4
aaa
aaaaaa
abby
abc
abc123
abcd
abcd1234
abcde
abcdef
abcdefg
access
action
active
adam
mypc
mypc123
admin123
pw123
mypass
mypass123
asdf
asdfg
asdfgh
asdfghjk
asdfjkl
asdfjkl;
hacker
zxcvb
zxcvbnm
xxx
xxxx
@@@
###
***
test
test1
test123
telecom
temp
bill
superman
supportsuper
ssssss
sos
spring
sprite
spirit
shit
sexy
rose
nice
ppp
playboy
planet
pizza
pentium
pass
job
newpass
morris
loveyou
kim
storm
fuckyou
fuck
fgh
dgj
doc
adg
warez
mp3
free
guest
shotgun
access
adm
parol
upload
qwerty
ytrewq
share


8. Il recherche sur les périphériques non amovibles et réseaux des fichiers ayant les extensions suivantes afin de les envoyer à un serveur du domaine "saap.meibu.com":

.PDF
.DOC
.DWG
.SCH
.PCB
.DWT
.DWF
.MAX
.MDB


9. Il ignore les fichiers dont le chemin ne contient pas l'une des chaînes de caractères suivantes :

Winnt
Windows
I386
Program Files
All Users
Recycler
System Volume Information
Inetpub
Documents and Settings
Wutemp
My Music


10. Il tente de s'insérer dans le processus "explorer.exe" afin d'être redémarré si le processus est terminé.

11. Il affiche un message d'erreur et termine "Explorer" s'il ne parvient pas à s'insérer dans le processus "explorer.exe".




http://www.smtechnologie.com