VIRUS:  WIN32/MYFIP.NAC

en Ultimas Amenazas de virus y sus variantes
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Seguridad, Spyware y Phishing : Ultimas Amenazas de virus y sus variantes
Ultimas Amenazas de virus y sus variantes Ultimas Amenazas de virus y sus variantes Conozca sobre las ultimas amenazas de virus, troyanos y gusanos a la seguridad de los sistemas operativos y programas del mundo informatico.

VIRUS:  WIN32/MYFIP.NAC

Compartir

DESCRIPCION

nombre: Win32/Myfip.NAC
aliases: Myfip.NAC, TR/Pakes.A.4, Worm/Myfip.J, Trojan.Win32.Pakes, Win32.HLLW.Myfip, W32/Myfip.worm, Trojan.Win32.Pakes, Trojan.Pakes, W32.Myfip.A, W32/Myfip.NAC, Win32/Myfip.NAC, Trojan Horse.AP, WORM_MYFIP.C, Worm.Myfip.M
tipo: Gusano de Internet
fecha: 07/03/2005
gravedad general: Baja
distribución: Media
daño: Bajo
tamaño: 32,768 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET

INFORMACION

Gusano que se propaga por recursos compartidos en red. También intenta robar archivos con diferentes extensiones del equipo infectado.

CARACTERISTICAS

Cuando se ejecuta crea una copia de si mismo en las siguientes carpetas:

C:\Windows\System32\kernell32dll.exe

De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Ejecuta el comando FTP de Windows para descargar el siguiente archivo de un servidor:

ip.domain

Este archivo contiene el nombre del servidor, nombre de usuario y contraseña para acceder a otro servidor FTP.

Para ejecutarse en cada reinicio del sistema crea la siguiente entrada en el registro de Windows:

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Distributed File System = kernell32dll.exe

Busca luego recursos compartidos en redes. Si los encuentra, intenta copiarse en ellos con los siguientes nombres:

temp.exe
worm.txt.exe

Si el directorio de red requiere autenticación, el gusano intenta conectarse como administrador, usando alguna de las siguientes contraseñas:

[email protected]#$%
[email protected]#$%^
[email protected]#$%^&
[email protected]#$%^&*
###
***
@#$%^&
@@@
000000
00000000
0007
007
007007
0246
0249
111
123
1234
12345
123456
1234567
12345678
123456789
1a2b3c
1p2o3i
1q2w3e
1qw23e
1sanjose
2004
2222
369
4444
4runner
54321
654321
777
7777
888888
911
99999999
a12345
a1b2c3
a1b2c3d4
aaa
aaaaaa
abby
abc
abc123
abcd
abcd1234
abcde
abcdef
abcdefg
access
access
action
active
adam
adg
adm
adm
admin
Admin
admin123
admin123456
administrator
Administrator
administrator
administrator123
administrator123456
administratorpasswd
adminpasswd
adminpasswd
adminpwd
asdf
asdfg
asdfgh
asdfghjk
asdfjkl
asdfjkl;
bill
bin
daemon
dgj
doc
fgh
free
freedom
fuck
fuckyou
god
guest
hacker
job
kim
love
loveyou
lp
morris
mp3
mypass
mypass123
mypc
mypc123
newpass
nice
noaccess
nobody
parol
pass
passwd
Passwd
password
Password
pentium
pizza
planet
playboy
ppp
pw123
pwd
qwerty
root
rose
sex
sexy
shit
shotgun
sos
spirit
spring
sprite
ssssss
storm
super
superman
support
sys
telecom
temp
test
test1
test123
upload
warez
xxx
xxxx
ytrewq
zxcvb
zxcvbnm

Si logra acceder, intenta crear los siguientes archivos:

admin$\system32\dfsvc.exe
admin$\system32\temp.exe
admin$\system32\temp.txt
ipc$\temp.exe
ipc$\worm.txt.exe

Luego registra el archivo "dfsvc.exe" como un servicio llamado "Distributed Link Tracking Extensions", el cuál ejecuta a dicho archivo con privilegios de administrador.

El gusano construye una lista de archivos que existan en el equipo infectado con las siguientes extensiones en todos los recursos accedidos, y enviar los archivos al servidor FTP cuyos datos se encuentran en el archivo IP.DOMAIN descargado antes:

.doc
.dwf
.dwg
.dwt
.max
.mdb
.pcb
.pdf
.sch

Evita incluir archivos cuya ubicación sean directorios o subdirectorios con alguna de las siguientes cadenas en su nombre:

All Users
Documents and Settings
I386
Inetpub
My Music
Program Files
Recycler
System Volume Information
Windows
Winnt
Wutemp

INSTRUCCIONES PARA ELIMINARLO

1. Desactive la restauración automática en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna "Nombre", la entrada "Distributed File System", en la siguiente clave del registro:

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run

6. Cierre el editor del Registro del sistema.

7. Busque y elimine los siguientes archivos:

C:\dfsvc.exe
C:\Temp.exe
C:\Worm.txt.exe
C:\Windows\System32\dfsvc.exe
C:\Windows\System32\kernell32dll.exe
C:\Windows\System32\Temp.exe
C:\Windows\System32\Temp.txt

8. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.
Compartir
  #1  
Creado: 07-Mar-2005, a las 18:35 Vistas: 485
Categoria: Ultimas Amenazas de virus y sus variantes
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
virus


Temas Similares
» VIRUS:  WIN32/OPANKI.B 0
» VIRUS:  WIN32/VB.CT 0
» VIRUS: *WIN32/MYFIP.Q 0
» VIRUS:  WIN32/VB.NBN 0
» VIRUS:  WIN32/MYFIP.B 0
» VIRUS:  WIN32/MYFIP.C 0
» VIRUS:  WIN32/MYFIP.NAB 0
» VIRUS: *WIN32/MYFIP.NAD 0
» VIRUS: *WIN32/MYFIP.NAA 0
» VIRUS:  WIN32/MYFIP.F 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 21:38.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4