Email-Worm.Win32.Myparty

Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 30K (упакован UPX, размер распакованного файла – около 76K), написан на Microsoft Visual C++.

Зараженные письма содержат:

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.

Инсталляция

В зависимости от версии Windows (Win9x/ME или WinNT/2000/XP) червь инсталлирует себя в систему разными способами. Копия файла-червя создается с именами:

c:regctrl.exe – Win9x

c:recycledregctrl.exe – WinNT

и эта копия запускается на выполнение (червь запускает себя заново из своей копии в файле “regctrl.exe”). При этом, если имя файла-вложения было изменено (имеет расширение не .COM, как в оригинале, а .EXE), то червь дополнительно открывает Web-страницу “http://www.disney.com”.

Первоначальный файл (как он был запущен из вложения в письмо) перемещается в каталог Recylced/Recycler с именем:

либо C:RECYCLERF-%1-%2-%3

либо C:RECYCLEDF-%1-%2-%3

где %1, %2, %3 – случайные числа, например:

F-12158-19044-21300

F-27729-23255-31008

При инсталляции червь также проверяет поддержку языков и, если установлена поддержка русского языка, также перемещает себя в каталог Recylced/Recycler.

Тоже самое происходит в любой день за исключением 25-29 января 2002 года.

Рассылка писем

При повторном запуске червь активизирует процедуру рассылки зараженных писем.

При этом червь использует прямое подключение к SMTP-черверу, имя которого определяет по системным настройкам электронной почты.

Адреса электронной почты, по которым будет рассылаться зараженное сообщение червь ищет в следующих файлах:

в базе данных WAB (Windows Address Book)

в файлах *.DBX, которые ищет в каталогах Outlook Express

При этом червь также отсылает одно письмо (без вложения) на адрес “napster@gala.net”

Прочее

Под WinNT/2000/… червь создает в каталоге автозагрузки дополнительный файл:

%Userprofile%Start MenuProgramsStartupmsstask.exe

который является троянской программой типа “бекдоор” и управляется “хозяином” командами, расположенными на одной из страниц по адресу http://209.151.250.170.

Известные модификации

Известна одна модификация червя:

Myparty.b

Основное отличие от первой версии – имя файла-вложения:

“myparty.photos.yahoo.com”.