DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Myparty

Erkennungsdatum 01/29/2002
Kategorie Email-Worm
Plattform Win32
Beschreibung

Dies ist ein Virus-Wurm, der sich über das Internet an infizierte E-Mails anmeldet. Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Länge von etwa 30 KB (komprimiert von UPX, 76 KB dekomprimiert) und in Microsoft Visual C ++ geschrieben.

Infizierte Nachrichten erscheinen wie folgt:

Der Wurm wird nur dann von infizierten E-Mails aktiviert, wenn ein Benutzer auf die angehängte Datei doppelklickt. Der Wurm installiert sich dann im System und führt eine Verteilungsroutine aus.

Installieren

Während der Installation kopiert sich der Wurm selbst zu: c: regctrl.exe – unter Win9x / ME
c: recycledregctrl.exe – unter WinNT / 2K / XP

und erstellt diese Kopie. Wenn der Dateiname des Wurms nicht ".com" lautet (wie im Anhang), sondern ".exe" (der Wurm wird umbenannt), wird auch die Webseite "http://www.disney.com" geöffnet. .

Die Originaldatei (wie sie von einer infizierten E-Mail ausgeführt wurde) wird mit einem der folgenden Namen in das Verzeichnis Recylced oder Recycler verschoben:

C: RECYCLERF-% 1-% 2-% 3
C: RECYCLEDF-% 1-% 2-% 3

Wobei% 1,% 2,% 3 zufällig ausgewählte Zahlen sind, zum Beispiel:

F-12158-19044-21300
F-27729-23255-31008

Während der Installation überprüft der Wurm den Tastaturlayout-Satz und wenn es russische Tastaturunterstützung gibt, kopiert sich der Wurm auf die gleiche Weise zu Recycled / Recycler und wird beendet. Dies gilt für jedes Datum mit Ausnahme des 25./29. Januar 2002.

Der Wurm funktioniert daher nur vom 25. bis zum 29. Januar 2002 und nur auf Computern ohne russische Tastaturunterstützung.

Verbreitung

Um infizierte Nachrichten zu senden, verwendet der Wurm eine direkte SMTP-Verbindung zu einem E-Mail-Server. Um die E-Mail-Adressen eines Opfers zu erhalten, scannt der Wurm WAB-Dateien (Windows-Adressbuch) und * .DBX-Dateien (Outlook Express).

Der Wurm sendet auch eine E-Mail (ohne Anhang) an "napster@gala.net".

Hintertür

Unter WinNT / 2000 / … erstellt der Wurm auch eine neue Datei im Auto-Run-Verzeichnis eines Benutzers:

% Benutzerprofil% Start MenuProgramsStartupmsstask.exe

und schreibt ein Backdoor-Programm dorthin. Diese Hintertür wird von Daten ausgeführt, die in einer Datei auf der Website "http://209.151.250.170" gespeichert sind.

Bekannte Varianten

Myparty.b

Dies ist eine leicht modifizierte 'a' Version. Die Unterschiede sind:

Der Name der angehängten Datei lautet "myparty.photos.yahoo.com".


Link zum Original