BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Myparty

Bulunma tarihi 01/29/2002
Sınıf Email-Worm
Platform Win32
Açıklama

Bu, Internet üzerinden virüslü e-postaya eklenmiş bir virüs solucanıdır. Solucanın kendisi yaklaşık 30Kb uzunluğunda bir Windows PE EXE dosyasıdır (UPX, 76K sıkıştırılmış) ve Microsoft Visual C ++ ile yazılmıştır.

Enfekte mesajlar aşağıdaki gibi görünür:

Solucan, yalnızca bir kullanıcı ekli dosyaya çift tıkladığında virüslü e-postadan etkinleştirilir. Solucan kendini sisteme yükler ve bir yayılma rutini çalıştırır.

yükleme

Yüklerken, solucan kendini şöyle kopyalar: c: regctrl.exe – Win9x / ME altında
c: recycledregctrl.exe – WinNT / 2K / XP’de

ve bu kopyayı ortaya çıkarıyor. Solucanın dosya adı ".com" (ekte olduğu gibi) değil, ".exe" (solucan yeniden adlandırılır) değilse, aynı zamanda "http://www.disney.com" Web sayfasını açar. .

Özgün dosya (virüslü bir e-postadan çalıştırıldığı gibi), aşağıdaki isimlerden biriyle Recylced veya Recycler dizinine taşınır:

C: RECYCLERF-% 1-% 2% 3
C: RECYCLEDF-% 1-% 2% 3

% 1,% 2,% 3 burada rastgele seçilmiş sayılardır, örneğin:

F-12158-19044-21300
F-27729-23255-31008

Kurulum sırasında, solucan klavye düzen kümesini kontrol eder ve Rusça klavye desteği olduğunda, solucan kendisini Geri Dönüşümlü / Geri Dönüşümcüye aynı şekilde kopyalar ve çıkar. Bu 25-29 Ocak 2002 hariç herhangi bir tarihte aynıdır.

Sonuç olarak, solucan sadece 25-29 Ocak 2002 tarihleri ​​arasında ve sadece Rus klavye desteği olmayan makinelerde çalışıyor.

Yayma

Virüs bulaşan mesajlar göndermek için, solucan bir e-posta sunucusuna doğrudan SMTP bağlantısı kullanır. Kurbanın e-posta adreslerini almak için, solucan WAB dosyalarını (Windows Adres Defteri) ve * .DBX dosyalarını (Outlook Express) tarar.

Solucan ayrıca bir e-postayı (eki olmayan) "napster@gala.net" adresine gönderir.

Arka kapı

WinNT / 2000 / … altında solucan, kullanıcının otomatik çalıştırma dizininde yeni bir dosya oluşturur:

% Userprofile% Start MenuProgramsStartupmsstask.exe

ve orada bir arka kapı programı yazar. Bu arka kapı, "http://209.151.250.170" Web sitesinde bir dosyada saklanan veriler tarafından çalıştırılır.

Bilinen Varyantlar

Myparty.b

Bu biraz değiştirilmiş bir 'a' sürümüdür. Farklar:

Ekli dosya adı "myparty.photos.yahoo.com".


Orijinaline link