CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.Win32.Myparty

Date de la détection 01/29/2002
Classe Email-Worm
Plateforme Win32
Description

C'est un virus-virus qui se propage via Internet attaché à un courrier électronique infecté. Le ver lui-même est un fichier Windows PE EXE d'environ 30 Ko (compressé par UPX, 76K décompressé), et il est écrit en Microsoft Visual C ++.

Les messages infectés apparaissent comme suit:

Le ver s'active à partir d'un courrier électronique infecté uniquement lorsqu'un utilisateur double-clique sur le fichier joint. Le ver s'installe ensuite dans le système et exécute une routine d'épandage.

Installation

Lors de l'installation, le ver se copie à: c: regctrl.exe – sous Win9x / ME
c: recycledregctrl.exe – sous WinNT / 2K / XP

et engendre cette copie. Lorsque le nom de fichier du ver n'est pas ".com" (comme dans la pièce jointe), mais plutôt ".exe" (le ver est renommé), il ouvre également la page Web "http://www.disney.com" .

Le fichier d'origine (tel qu'il a été exécuté à partir d'un courrier électronique infecté) est déplacé vers le répertoire Recylced ou Recycler avec l'un des noms suivants:

C: RECYCLERF-% 1-% 2-% 3
C: RECYCLEDF-% 1-% 2-% 3

où% 1,% 2,% 3 sont des nombres choisis au hasard, par exemple:

F-12158-19044-21300
F-27729-23255-31008

Lors de l'installation, le ver vérifie la configuration du clavier, et quand il y a un support de clavier russe, le ver se copie de la même manière dans Recycled / Recycler et quitte. C'est la même chose à n'importe quelle date, sauf les 25 et 29 janvier 2002.

En conséquence, le ver ne fonctionne que du 25 au 29 janvier 2002, et uniquement sur les machines sans support clavier russe.

Diffusion

Pour envoyer des messages infectés, le ver utilise une connexion SMTP directe à un serveur de messagerie. Pour obtenir les adresses de messagerie d'une victime, le ver analyse les fichiers WAB (carnet d'adresses Windows) et les fichiers * .DBX (Outlook Express).

Le ver envoie également un e-mail (sans pièce jointe) à "napster@gala.net".

Porte de derrière

Sous WinNT / 2000 / … le ver crée également un nouveau fichier dans le répertoire d'exécution automatique d'un utilisateur:

% Userprofile% Démarrer MenuProgramsStartupmsstask.exe

et écrit un programme de porte dérobée à là. Cette porte dérobée est exécutée par les données stockées dans un fichier sur le site Web "http://209.151.250.170".

Variantes connues

Myparty.b

Celui-ci est une version 'a' légèrement modifiée. Les différences sont:

Le nom de fichier joint est "myparty.photos.yahoo.com".


Lien vers l'original