ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Email-Worm.Win32.Myparty

Fecha de detección 01/29/2002
Clase Email-Worm
Plataforma Win32
Descripción

Este es un virus-gusano que se propaga a través de Internet adjunto al correo electrónico infectado. El gusano en sí es un archivo EXE de Windows PE de aproximadamente 30 Kb de longitud (comprimido por UPX, 76 KB descomprimido), y está escrito en Microsoft Visual C ++.

Los mensajes infectados aparecen de la siguiente manera:

El gusano se activa desde el correo electrónico infectado solo cuando un usuario hace doble clic en el archivo adjunto. El gusano se instala en el sistema y ejecuta una rutina de propagación.

Instalación

Durante la instalación, el gusano se copia a sí mismo a: c: regctrl.exe – bajo Win9x / ME
c: recycledregctrl.exe – bajo WinNT / 2K / XP

y genera esta copia. Cuando el nombre del archivo del gusano no es ".com" (como en el archivo adjunto), sino más bien ".exe" (el gusano se renombra), también abre la página web "http://www.disney.com" .

El archivo original (como se ejecutó desde un correo electrónico infectado) se mueve al directorio Recylced o Recycler con uno de los siguientes nombres:

C: RECYCLERF-% 1-% 2-% 3
C: RECYCLEDF-% 1-% 2-% 3

donde% 1,% 2,% 3 son números seleccionados al azar, por ejemplo:

F-12158-19044-21300
F-27729-23255-31008

Durante la instalación, el gusano comprueba la configuración del teclado, y cuando hay compatibilidad con el teclado ruso, el gusano se copia a Reciclado / Reciclador de la misma manera y sale. Esto es lo mismo en cualquier fecha a excepción del 25-29 de enero de 2002.

Como resultado, el gusano solo funciona del 25 al 29 de enero de 2002, y solo en máquinas sin soporte de teclado ruso.

Extensión

Para enviar mensajes infectados, el gusano usa una conexión SMTP directa a un servidor de correo electrónico. Para obtener las direcciones de correo electrónico de la víctima, el gusano escanea los archivos WAB (libreta de direcciones de Windows) y los archivos * .DBX (Outlook Express).

El gusano también envía un correo electrónico (sin un archivo adjunto) a "napster@gala.net".

Puerta trasera

En WinNT / 2000 / … el gusano también crea un nuevo archivo en el directorio de ejecución automática de un usuario:

% Userprofile% Menú de inicioProgramasStartupmsstask.exe

y escribe un programa de puerta trasera para allí. Esta puerta trasera se ejecuta con datos que están almacenados en un archivo en el sitio web "http://209.151.250.170".

Variantes conocidas

Myparty.b

Esta es una versión 'a' ligeramente modificada. Las diferencias son:

El nombre del archivo adjunto es "myparty.photos.yahoo.com".


Enlace al original