w32/myfip.k

Imagen biografía
Categoría: Gusanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/myfip.k

w32.myfip.k

tipo: gusano
tama?o: variable
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7 al 26/11/2004
w32/myfip.k, es un gusano que se difunde a trav?s de la red, roba archivos del computador infectado.
cuando el gusano se ejecuta crea un mutex llamado fjsy el cual permite que solo una instancia del gusano se ejecute en memoria.
seguidamente se copia a si mismo como:
system \dfsvc.exe
system \kernel32dll.exe
nota:
system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s modifica una entrada en el registro para poder ejecutarse en el siguiente inicio del sistema con una de las siguientes entradas:
hkey_local_machine\software\microsoft\windows\currentversion\run
distributed file system= system \dfsvc.exe
hkey_local_machine\software\microsoft\windows\currentversion\run
distributed file system= system \kernel32dll.exe
busca otros computadores en la red, si el gusano encuentra alguna intentar? copiarse a si mismo en el computador remoto como iloveyou.txt.exe, utiliza el usuario administrator y una relaci?n de passwords para poder establecer comunicaci?n con dichas computadoras.
administrator administrator administrator admin admin administrator admin administrator administratorpasswd adminpasswd adminpwd pwd adminpasswd password password 9 654321 54321 111 000000 passwd passwd 00000000 0007 007 007007 0246 0249 !@#$ !@#$ ^ !@#$ ^& !@#$ ^&* root daemon bin sys adm lp nobody noaccess freedom 1a2b3c 1p2o3i 1q2w3e 1qw23e 1sanjose 2004 2222 369 4444 love sex god 4runner 777 7777 888888 911 99999999 @#$ ^& a a1b2c3 a1b2c3d4 aaa aaaaaa abby abc abc abcd abcd abcde abcdef abcdefg access action active adam mypc mypc admin pw mypass mypass asdf asdfg asdfgh asdfghjk asdfjkl asdfjkl; hacker zxcvb zxcvbnm xxx xxxx @@@ ### *** test test1 test telecom temp bill superman support super ssssss sos spring sprite spirit shit sexy rose nice ppp playboy planet pizza pentium pass job newpass morris loveyou kim storm fuckyou fuck fgh dgj doc adg warez mp3 free guest shotgun access adm parol upload qwerty ytrewq tambi?n intentar? crear los siguientes archivos en recursos compartidos que el gusano logre accesar:
system \temp.txt system \dfsvc.exe system \dltksvc.exe system \kernel32dll.exe registra el archivo dltksvc.exe como un servicio llamado distributed link tracking extensions, el cual ejecuta al archivo dfsvc.exe con privilegios de administrador.
el gusano injecta su c?digo dentro del proceso del explorer.exe, de esta forma cada vez que sea finalizado (killed) su proceso, este se vuelva a iniciar.
finalmente utiliza un ftp para descargar un archivo llamado ip.domain desde el sitio net918.meibu.com, dicho archivo contiene un nombre de servidor, nombre de usuario y un password utilizado para futuros accesos ftp. seguidamente el gusano busca archivos que tengan la extensi?n .pdf, .doc, .dwg, .sch, .pcb, .dwt, .dwf, y .max en el computador infectado y los env?a para el servidor ftp referido en el archivo ip.domain
el gusano ignora archivos que se encuentren en las siguientes ubicaciones:
winnt windows i386 program files all users recycler system volume information inetpub documents and settings wutemp my music


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo