SoloCodigo

Nombre: W32/Myfip.NAF
Nombre NOD32: Win32/Myfip.NAF
Tipo: Gusano
Alias: Myfip.NAF, W32/MyFip.L.worm, Win32.Worm.MyFip.L, Win32/Myfip.NAF, Worm.Win32.Myfip.gen
Fecha: 22/mar/05
Plataforma: Windows 32-bit
Tamaño: 38,113 bytes (FSG)

Gusano que se propaga por recursos de redes compartidos, e intenta robar archivos con diferentes extensiones del equipo infectado.

Se copia a si mismo con alguno de los siguientes nombres en la carpeta del Sistema de Windows:

    c:windowssystem32DFSVC.EXE
    c:windowssystem32KERNEL32DLL.EXE

NOTA: "c:windowssystem32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:winntsystem32" en Windows NT y 2000 y "c:windowssystem" en Windows 9x y ME).

Ejecuta el comando FTP de Windows para descargar el siguiente archivo de un servidor predeterminado:

    ip.domain

Este archivo contiene nombre de servidor, nombre de usuario y contraseña para acceder a otro servidor FTP.

Crea una de las siguientes entradas en el registro para autoejecutarse en cada reinicio:

    HKLMSoftwareMicrosoftWindowsCurrentVersionRun
    Distributed File System = Dfsvc.exe

    HKLMSoftwareMicrosoftWindowsCurrentVersionRun
    Distributed File System = Kernel32Dll.exe

Busca luego directorios compartidos en redes. Si los encuentra, intenta copiarse en ellos con uno de los siguientes nombres:

    temp.exe
    worm.txt.exe

Si el directorio de red requiere autenticación, el gusano intenta conectarse como administrador, usando alguna de las siguientes contraseñas y nombres de usuarios:

    !@#$%
    !@#$%^
    !@#$%^&
    !@#$%^&*
    ###
    ***
    @#$%^&
    @@@
    000000
    00000000
    0007
    007
    007007
    0246
    0249
    111
    123
    1234
    12345
    123456
    1234567
    12345678
    123456789
    1a2b3c
    1p2o3i
    1q2w3e
    1qw23e
    1sanjose
    2004
    2222
    369
    4444
    4runner
    54321
    654321
    777
    7777
    888888
    911
    99999999
    a12345
    a1b2c3
    a1b2c3d4
    aaa
    aaaaaa
    abby
    abc
    abc123
    abcd
    abcd1234
    abcde
    abcdef
    abcdefg
    access
    access
    action
    active
    adam
    adg
    adm
    adm
    admin
    Admin
    admin123
    admin123456
    administrator
    Administrator
    administrator
    administrator123
    administrator123456
    administratorpasswd
    adminpasswd
    adminpasswd
    adminpwd
    asdf
    asdfg
    asdfgh
    asdfghjk
    asdfjkl
    asdfjkl;
    bill
    bin
    daemon
    dgj
    doc
    fgh
    free
    freedom
    fuck
    fuckyou
    god
    guest
    hacker
    job
    kim
    love
    loveyou
    lp
    morris
    mp3
    mypass
    mypass123
    mypc
    mypc123
    newpass
    nice
    noaccess
    nobody
    parol
    pass
    passwd
    Passwd
    password
    Password
    pentium
    pizza
    planet
    playboy
    ppp
    pw123
    pwd
    qwerty
    root
    rose
    sex
    sexy
    shit
    shotgun
    sos
    spirit
    spring
    sprite
    ssssss
    storm
    super
    superman
    support
    sys
    telecom
    temp
    test
    test1
    test123
    upload
    warez
    xxx
    xxxx
    ytrewq
    zxcvb
    zxcvbnm

Si logra acceder, intentará crear los siguientes archivos:

    admin$system32dfsvc.exe
    admin$system32 emp.exe
    admin$system32 emp.txt
    ipc$ emp.exe
    ipc$worm.txt.exe

El gusano busca archivos con extensión PDF, DOC y DWF en todos los recursos accedidos, y los envía al servidor FTP cuyos datos se encuentran en el archivo IP.DOMAIN descargado antes.

Evita incluir archivos cuya ubicación (path o camino), sean directorios o subdirectorios con alguna de las siguientes cadenas en su nombre:

    All Users
    Documents and Settings
    I386
    Inetpub
    My Music
    Program Files
    Recycler
    System Volume Information
    Windows
    Winnt
    Wutemp

Reparación manual

Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:
Cómo configurar Zone Alarm 3.x

Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos (no todos ellos podrían estar presentes):

    emp.exe
    worm.txt.exe
    c:windowsexplroer.exe
    c:windowssystem32dfsvc.exe
    c:windowssystem32dltksvc.exe
    c:windowssystem32kernel32dll.exe
    c:windowssystem32 emp.exe
    c:windowssystem32 emp.txt

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

    HKEY_LOCAL_MACHINE
    SOFTWARE
    Microsoft
    Windows
    CurrentVersion
    Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    Distributed File System

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

Limpieza de virus en Windows XP

Video Soft
VSAntivirus