Email-Worm.Win32.Myparty

これは、感染した電子メールに添付されたインターネット経由で拡散するウイルスワームです。ワーム自体は約30KBのWindows PE EXEファイル（UPX圧縮、76K圧縮解除）で、Microsoft Visual C ++で書かれています。

感染したメッセージは次のように表示されます。

ワームは、添付ファイルをダブルクリックした場合にのみ、感染した電子メールから起動します。その後、ワームは自身をシステムにインストールして、拡散ルーチンを実行します。

インストール

インストール中に、このワームは自分自身を以下へコピーします： c：regctrl.exe – Win9x / MEの下で
c：recycledregctrl.exe – WinNT / 2K / XPの下で

このコピーを生成します。ワームのファイル名が ".com"（添付ファイルの場合）ではなく ".exe"（ワームの名前が変更されている）の場合、Webページ "http://www.disney.com" 。

感染した電子メールから実行された元のファイルは、次のいずれかの名前でRecylcedまたはRecyclerディレクトリに移動されます。

C：RECYCLERF-％1-％2-％3
C：RECYCLEDF-％1-％2-％3

％1、％2、％3はランダムに選択された数値です。たとえば、次のようになります。

F-12158-19044-21300
F-27729-23255-31008

インストール中に、ワームはキーボードレイアウトセットをチェックし、ロシア語キーボードサポートがある場合、同じ方法で自身をRecycled / Recyclerにコピーして終了します。これは、2002年1月25-29日を除く任意の日付で同じです。

その結果、このワームは2002年1月25日から29日にかけてのみ動作し、ロシア語キーボードがサポートされていないマシンでのみ動作します。

広がる

ワームは感染したメッセージを送信するために、電子メールサーバーへの直接SMTP接続を使用します。被害者の電子メールアドレスを取得するために、ワームはWABファイル（Windowsアドレス帳）と* .DBXファイル（Outlook Express）をスキャンします。

ワームはまた、「napster@gala.net」に1つの電子メール（添付ファイルなし）を送信します。

バックドア

WinNT / 2000 / …の下では、このワームはユーザーの自動実行ディレクトリに新しいファイルを作成します。

％Userprofile％Start MenuProgramsStartupmsstask.exe

そこにバックドアプログラムを書き込む。このバックドアは、Webサイト「http://209.151.250.170」のファイルに格納されているデータによって実行されます。

既知のバリアント

Myparty.b

これは少し修正された 'a'バージョンです。違いは次のとおりです。

添付ファイル名は「myparty.photos.yahoo.com」です。