Myfip

會竊取電腦檔案的新駭蟲Myfip

最近在網路上發現了一隻新病毒Myfip,它會竊取電腦檔案,用戶需格外小心以免自己的檔案遭到病毒竊取!!

基本介紹

病毒名稱 Myfip
病毒別名 W32.Myfip.A (symantec)
病毒型態 Worm
病毒發現日期 2004/08/06
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估

散播程度:低
破壞程度:低

Myfip 行為描述:

註:在Win95/98/me %System% 預設值為 C:\windows\System

在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32

  • 駭蟲會產生mutex "fjsy",如此一來只有駭蟲才能在電腦上被執行

  • 使用超連結路徑從網址net918.meibu.com下載一個檔案,並且命名為 ip.domain,這一個檔案包含一個FTP伺服器位置,會將使用者的名稱和密碼傳送到此FTP伺服器上。

  • 破解系統登入密碼,由遠端植入病毒檔案並啟動,密碼為下列資料者請盡速置換登入密碼:

    • !@#$%

    • access

    access

    Administrator

    administrator

    administratorpasswd

    adminpasswd

    fuck

    fuckyou

    god

    guest

    nice

    password

    pwd

    qwerty

    root

    sexy

    shit

    shotgun

    sos

    spirit

  • 透過病毒執行後,將駭蟲本身複製到%System%

    • Dfsvc.exe

  • 如果駭蟲成功的連接網路目標,駭蟲會嘗試在該目錄夾中產生下列檔案

    • Admin$\system32\temp.txt

    Admin$\system32\Dfsvc.exe

    Admin$\system32\dltksvc.exe

  • 修改登錄檔,如此開機即會啟動駭蟲。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    名稱=Distributed File System 值=Dfsvc.exe

  • 修改登錄檔,如此開機即會啟動駭蟲。

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    名稱=Distributed File System 值=Dfsvc.exe

  • 修改登錄檔,如此開機即會啟動駭蟲。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runonce

    名稱=Distributed File System 值=Dfsvc.exe

  • 尋找系統中目錄名稱為.pdf 者,將駭蟲本身複製到此些目錄中,檔案為:

    • ip.domain