・W32/Myfip.wormはターゲットマシンからデータを盗み出そうとします。特徴は以下のとおりです。
セキュリティが不十分なネットワーク共有に自身をコピーして繁殖します(脆弱なパスワードを使用して、管理者としてログオンしようとします)。
ターゲットマシンからリモートFTPサーバに.PDFファイルをアップロードすることが目的です。
共有を介した繁殖
・W32/Myfip.wormは、自身をアクセス可能なAdmin$およびIPC$共有にコピーするため、ネットワーク共有をリストアップします。次に、本体に格納されているパスワードを使用して、「管理者」としてリモートマシンに接続します。
!@#$%
!@#$%^&*
!@#$%^&
!@#$%^
###
***
*
00000000
000000
0007
007007
007
02460249
111
123412345
123456789
12345678
1234567
123456
123
12
1
1a2b3c
1p2o3i
1q2w3e
1qw23e
1sanjose
2004
2222
369
4444love
4runner
54321
654321
7777
777
888888
911
99999999
@#$%^&
@@@
Admin
Administrator
Passwd
Password
a12345
a1b2c3
a1b2c3d4
a
aaa
aaaaaa
abby
abc123
abc
abcdabcd1234
abcde
abcdef
abcdefg
access
access
action
active
adammypc
adg
adm
adm
admin123456
admin123
admin
administrator123456
administrator123
administrator
administratorpasswd
adminpasswd
adminpasswd
adminpwd
asdfasdfg
asdfgh
asdfghjk
asdfjkl;
asdfjkl
bill
bin
daemon
dgj
doc
fgh
fjsy
free
freedom
fuck
fuckyou
god
guest
hacker
job
kim
loveyou
lp
me
morris
mp3
mypass123
mypass
mypc123
newpass
nice
noaccess
nobody
parol
pass
passwd
password
pentium
pizza
planet
playboy
ppp
pw123
pw
pwd
qwerty
root
rose
sex
share
shitsexy
shotgun
sos
spirit
spring
sprite
ssssss
storm
super
superman
support
sys
telecom
temp
test123
test1
test
upload
warez
xxx
xxxx
ytrewq
zxcvb
zxcvbnm
・成功すると、W32/Myfip.wormは以下のファイル名で自身を共有フォルダにコピーします。
・さらに、ADMIN$共有フォルダにも自身をコピーします。
・接続に成功した際に使用されたパスワードはTEMP.TXTファイルに書き込まれます。このファイルは、W32/Myfip.wormが(ADMIN$共有に)ドロップ(作成)した2番目のファイル(DLTKSVC.EXE, 4,608バイト) によって、管理者特権でW32/Myfip.wormをサービスとしてインストールするための「ローダ」コンポーネントに使用されます。
・このサービス名の特徴は、以下のとおりです。
表示名: Distributed Link Tracking Extensions
画像パス: DFSVC.EXE
ファイルのアップロード
・W32/Myfip.wormはFTPを介して以下のリモートサーバに接続します。
・次に、別のリモートFTPサーバの詳細が格納されている、「ip.domain」という名前のファイルを検索します。この2番目のサーバを使用して、ターゲットマシンからPDFファイルをアップロードします。
