ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Email-Worm.Win32.Myparty

Data de detecção 01/29/2002
Classe Email-Worm
Plataforma Win32
Descrição

Este é um vírus que se espalha através da Internet anexado ao e-mail infectado. O próprio worm é um arquivo EXE do Windows PE com cerca de 30Kb de comprimento (compactado por UPX, 76K descompactado) e está escrito em Microsoft Visual C ++.

Mensagens infectadas aparecem da seguinte forma:

O worm é ativado a partir do e-mail infectado somente quando o usuário clica duas vezes no arquivo anexado. O worm então se instala no sistema e executa uma rotina de distribuição.

Instalando

Durante a instalação, o worm se copia para: c: regctrl.exe – em Win9x / ME
c: recycledregctrl.exe – sob WinNT / 2K / XP

e gera essa cópia. Quando o nome do arquivo do worm não é ".com" (como no anexo), mas sim ".exe" (o worm é renomeado), ele também abre a página da Web "http://www.disney.com" .

O arquivo original (como foi executado a partir de um e-mail infectado) é movido para o diretório Reciclado ou Reciclador com um dos seguintes nomes:

C: RECYCLERF-% 1-% 2-% 3
C: RECYCLEDF-% 1-% 2-% 3

onde% 1,% 2,% 3 são números selecionados aleatoriamente, por exemplo:

F-12158-19044-21300
F-27729-23255-31008

Durante a instalação, o worm verifica o conjunto de layouts de teclado e, quando há suporte a teclado russo, o worm se copia para o Reciclado / Reciclador da mesma forma e sai. Este é o mesmo em qualquer data, exceto de 25 a 29 de janeiro de 2002.

Como resultado, o worm funciona apenas de 25 a 29 de janeiro de 2002 e apenas em máquinas sem suporte a teclado russo.

Espalhando

Para enviar mensagens infectadas, o worm usa uma conexão SMTP direta com um servidor de e-mail. Para obter os endereços de e-mail da vítima, o worm verifica os arquivos WAB (Windows Address Book) e os arquivos * .DBX (Outlook Express).

O worm também envia um e-mail (sem anexo) para "napster@gala.net".

Porta dos fundos

Sob WinNT / 2000 / … o worm também cria um novo arquivo no diretório de execução automática de um usuário:

% Userprofile% Iniciar MenuProgramsStartupmsstask.exe

e escreve um programa backdoor para lá. Esse backdoor é executado por dados armazenados em um arquivo no site "http://209.151.250.170".

Variantes conhecidas

Myparty.b

Esta é uma versão 'a' ligeiramente modificada. As diferenças são:

O nome do arquivo anexado é "myparty.photos.yahoo.com".


Link para o original