Email-Worm.Win32.Myparty

Дата обнаружения 29/01/2002
Класс Email-Worm
Платформа Win32
Описание

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 30K (упакован UPX, размер распакованного файла — около 76K), написан на Microsoft Visual C++.

Зараженные письма содержат:

200

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

В зависимости от версии Windows (Win9x/ME или WinNT/2000/XP) червь инсталлирует себя в систему разными способами. Копия файла-червя создается с именами:

c:regctrl.exe — Win9x

c:recycledregctrl.exe — WinNT

и эта копия запускается на выполнение (червь запускает себя заново из своей копии в файле «regctrl.exe»). При этом, если имя файла-вложения было изменено (имеет расширение не .COM, как в оригинале, а .EXE), то червь дополнительно открывает Web-страницу «http://www.disney.com».

Первоначальный файл (как он был запущен из вложения в письмо) перемещается в каталог Recylced/Recycler с именем:

либо C:RECYCLERF-%1-%2-%3

либо C:RECYCLEDF-%1-%2-%3

где %1, %2, %3 — случайные числа, например:

F-12158-19044-21300

F-27729-23255-31008

При инсталляции червь также проверяет поддержку языков и, если установлена поддержка русского языка, также перемещает себя в каталог Recylced/Recycler.

Тоже самое происходит в любой день за исключением 25-29 января 2002 года.

 

Рассылка писем

При повторном запуске червь активизирует процедуру рассылки зараженных писем.

При этом червь использует прямое подключение к SMTP-черверу, имя которого определяет по системным настройкам электронной почты.

Адреса электронной почты, по которым будет рассылаться зараженное сообщение червь ищет в следующих файлах:

в базе данных WAB (Windows Address Book)

в файлах *.DBX, которые ищет в каталогах Outlook Express

При этом червь также отсылает одно письмо (без вложения) на адрес «napster@gala.net»

 

Прочее

Под WinNT/2000/… червь создает в каталоге автозагрузки дополнительный файл:

%Userprofile%Start MenuProgramsStartupmsstask.exe

который является троянской программой типа «бекдоор» и управляется «хозяином» командами, расположенными на одной из страниц по адресу http://209.151.250.170.

 

Известные модификации

Известна одна модификация червя:

Myparty.b

Основное отличие от первой версии — имя файла-вложения:

«myparty.photos.yahoo.com».