ウイルス情報

ウイルス名 危険度

W32/Myfip.worm.g

企業ユーザ: 低[要注意]
個人ユーザ: 低[要注意]
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4401
対応定義ファイル
(現在必要とされるバージョン)
4401 (現在7659)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2004/10/28
発見日(米国日付) 2004/10/23
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

-- 2004年10月27日更新 --

・以下のWebサイトで注目されたため、危険度を[低(要注意)]に変更しました。 http://www.theregister.com/2004/10/27/myflip_virus/


・W32/Myfip.worm.gはウイルス定義ファイル4401ではW32/Myfip.wormとして検出されます。W32/Myfip.worm.gとしての正確な検出はウイルス定義ファイル4402で対応します。

・W32/Myfip.worm.gはターゲットマシンからデータを盗み出そうとします。特徴は以下のとおりです。

  • セキュリティが不十分なネットワーク共有に自身をコピーして繁殖します(脆弱なパスワードを使用して、管理者としてログオンしようとします)。
  • ターゲットマシンからリモートFTPサーバにファイルをアップロードすることが目的です。
共有を介した繁殖

・W32/Myfip.worm.gは、自身をアクセス可能なAdmin$およびIPC$共有にコピーするため、ネットワーク共有をリストアップします。次に、本体に格納されているパスワードを使用して、「管理者」としてリモートマシンに接続します。

  • !@#$%
  • !@#$%^&*
  • !@#$%^&
  • !@#$%^
  • ###
  • ***
  • *
  • 00000000
  • 000000
  • 0007
  • 007007
  • 007
  • 02460249
  • 111
  • 123412345
  • 123456789
  • 12345678
  • 1234567
  • 123456
  • 123
  • 12
  • 1
  • 1a2b3c
  • 1p2o3i
  • 1q2w3e
  • 1qw23e
  • 1sanjose
  • 2004
  • 2222
  • 369
  • 4444love
  • 4runner
  • 54321
  • 654321
  • 7777
  • 777
  • 888888
  • 911
  • 99999999
  • @#$%^&
  • @@@
  • Admin
  • Administrator
  • Passwd
  • Password
  • a12345
  • a1b2c3
  • a1b2c3d4
  • a
  • aaa
  • aaaaaa
  • abby
  • abc123
  • abc
  • abcdabcd1234
  • abcde
  • abcdef
  • abcdefg
  • access
  • access
  • action
  • active
  • adammypc
  • adg
  • adm
  • adm
  • admin123456
  • admin123
  • admin
  • administrator123456
  • administrator123
  • administrator
  • administratorpasswd
  • adminpasswd
  • adminpasswd
  • adminpwd
  • asdfasdfg
  • asdfgh
  • asdfghjk
  • asdfjkl;
  • asdfjkl
  • bill
  • bin
  • daemon
  • dgj
  • doc
  • fgh
  • fjsy
  • free
  • freedom
  • fuck
  • fuckyou
  • god
  • guest
  • hacker
  • job
  • kim
  • loveyou
  • lp
  • me
  • morris
  • mp3
  • mypass123
  • mypass
  • mypc123
  • newpass
  • nice
  • noaccess
  • nobody
  • parol
  • pass
  • passwd
  • password
  • pentium
  • pizza
  • planet
  • playboy
  • ppp
  • pw123
  • pw
  • pwd
  • qwerty
  • root
  • rose
  • sex
  • share
  • shitsexy
  • shotgun
  • sos
  • spirit
  • spring
  • sprite
  • ssssss
  • storm
  • super
  • superman
  • support
  • sys
  • telecom
  • temp
  • test123
  • test1
  • test
  • upload
  • warez
  • xxx
  • xxxx
  • ytrewq
  • zxcvb
  • zxcvbnm

・成功すると、W32/Myfip.worm.gは以下のファイル名で自身を共有フォルダにコピーします。

  • WORM.TXT.EXE

・さらに、ADMIN$共有フォルダにも自身をコピーします。

  • DFSVC.EXE

・接続に成功した際に使用されたパスワードはTEMP.TXTファイルに書き込まれます。このファイルは、W32/Myfip.worm.gが(ADMIN$共有)にドロップ(作成)した2番目のファイル(TEMP.EXE)によって使用されます。このファイルは、管理者権限でW32/Myfip.worm.gをサービスとしてインストールする「ローダ」コンポーネントです。

・このサービス名の特徴は、以下のとおりです。

表示名: Distributed Link Tracking Extensions
画像パス: DFSVC.EXE

ファイルのアップロード

・W32/Myfip.worm.gはFTPを介して以下のリモートサーバに接続します。

  • saap.meibu.com

・このウイルス情報の作成時には、サーバはまだオンラインでした。

・次に、別のリモートFTPサーバの詳細が格納されている、「ip.domain」という名前のファイルを検索します。この2番目のサーバを使用して、ターゲットマシンからファイルをアップロードします。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • saap.meibu.comへのFTPトラフィックが発生しています。
  • 下記のレジストリおよびファイルシステムの改変が行われています。

TOPへ戻る

感染方法

・ターゲットマシンでの実行時、W32/Myfip.worm.gはWindowsのシステムディレクトリにKERNEL32DLLEXEとして自身をインストールします。例:

  • C:\WINNT\SYSTEM32\KERNEL32DLL.EXE

・W32/Myfip.worm.gが管理者としてリモート共有への接続に成功した場合、接続に使用されたパスワードがこのディレクトリにドロップ(作成)されたテキストファイルに書き込まれます。

  • C:\WINNT\SYSTEM32\TEMP.TXT

・以下のレジストリキーを追加して、システム起動時にフックします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
  • Run "Distributed File System" = Kernel32dll.exe

TOPへ戻る

駆除方法

■指定のエンジンとウイルス定義ファイルを使用して、検出して下さい。検出されたすべてのファイルを削除してください。

Windows ME/XPでの駆除についての補足

TOPへ戻る