-- 2004年10月27日更新 --
・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。 http://www.theregister.com/2004/10/27/myflip_virus/
・W32/Myfip.worm.gはウイルス定義ファイル4401ではW32/Myfip.wormとして検出されます。W32/Myfip.worm.gとしての正確な検出はウイルス定義ファイル4402で対応します。
・W32/Myfip.worm.gはターゲットマシンからデータを盗み出そうとします。特徴は以下のとおりです。
- セキュリティが不十分なネットワーク共有に自身をコピーして繁殖します(脆弱なパスワードを使用して、管理者としてログオンしようとします)。
- ターゲットマシンからリモートFTPサーバにファイルをアップロードすることが目的です。
共有を介した繁殖
・W32/Myfip.worm.gは、自身をアクセス可能なAdmin$およびIPC$共有にコピーするため、ネットワーク共有をリストアップします。次に、本体に格納されているパスワードを使用して、「管理者」としてリモートマシンに接続します。
- !@#$%
- !@#$%^&*
- !@#$%^&
- !@#$%^
- ###
- ***
- *
- 00000000
- 000000
- 0007
- 007007
- 007
- 02460249
- 111
- 123412345
- 123456789
- 12345678
- 1234567
- 123456
- 123
- 12
- 1
- 1a2b3c
- 1p2o3i
- 1q2w3e
- 1qw23e
- 1sanjose
- 2004
- 2222
- 369
- 4444love
- 4runner
- 54321
- 654321
- 7777
- 777
- 888888
- 911
- 99999999
- @#$%^&
- @@@
- Admin
- Administrator
- Passwd
- Password
- a12345
- a1b2c3
- a1b2c3d4
- a
- aaa
- aaaaaa
- abby
- abc123
- abc
- abcdabcd1234
- abcde
- abcdef
- abcdefg
- access
- access
- action
- active
- adammypc
- adg
- adm
- adm
- admin123456
- admin123
- admin
- administrator123456
- administrator123
- administrator
- administratorpasswd
- adminpasswd
- adminpasswd
- adminpwd
- asdfasdfg
- asdfgh
- asdfghjk
- asdfjkl;
- asdfjkl
- bill
- bin
- daemon
- dgj
- doc
- fgh
- fjsy
- free
- freedom
- fuck
- fuckyou
- god
- guest
- hacker
- job
- kim
- loveyou
- lp
- me
- morris
- mp3
- mypass123
- mypass
- mypc123
- newpass
- nice
- noaccess
- nobody
- parol
- pass
- passwd
- password
- pentium
- pizza
- planet
- playboy
- ppp
- pw123
- pw
- pwd
- qwerty
- root
- rose
- sex
- share
- shitsexy
- shotgun
- sos
- spirit
- spring
- sprite
- ssssss
- storm
- super
- superman
- support
- sys
- telecom
- temp
- test123
- test1
- test
- upload
- warez
- xxx
- xxxx
- ytrewq
- zxcvb
- zxcvbnm
・成功すると、W32/Myfip.worm.gは以下のファイル名で自身を共有フォルダにコピーします。
・さらに、ADMIN$共有フォルダにも自身をコピーします。
・接続に成功した際に使用されたパスワードはTEMP.TXTファイルに書き込まれます。このファイルは、W32/Myfip.worm.gが(ADMIN$共有)にドロップ(作成)した2番目のファイル(TEMP.EXE)によって使用されます。このファイルは、管理者権限でW32/Myfip.worm.gをサービスとしてインストールする「ローダ」コンポーネントです。
・このサービス名の特徴は、以下のとおりです。
表示名: Distributed Link Tracking Extensions
画像パス: DFSVC.EXE
ファイルのアップロード
・W32/Myfip.worm.gはFTPを介して以下のリモートサーバに接続します。
・このウイルス情報の作成時には、サーバはまだオンラインでした。
・次に、別のリモートFTPサーバの詳細が格納されている、「ip.domain」という名前のファイルを検索します。この2番目のサーバを使用して、ターゲットマシンからファイルをアップロードします。
