病毒名称(中文):
我的晚会
病毒别名:
I-Worm.Myparty[AVP],W32.Myparty@mm[NAV],W32/Mypart
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
29957
影响系统:
Win9xWinNT
病毒行为:
这是一个通过邮件传播的蠕虫病毒,最早出现在俄罗斯。若中毒计算机系统设置不为Russian,那么其发作时间段仅在2002年1月25-29间。该邮件病毒会在WinNT的操作系统上生成一个后门程序。
1.当用户执行了带毒附件病毒,若系统日期在2002年1月25日至29日之间或者系统设置为Russian,病毒会释放副本到用户计算机:
Win9x的操作系统复制为:C:\Recycled\regctrl.exe文件,并且执行它。
WinNT的操作系统复制为:C:\regctrl.exe。
2.然后,病毒检测带毒邮件后缀是否为.COM或者刚才释放的文件后缀是否为.EXE,是的话则会在C:\Recycled目录下生成没有后缀的文件名为F-<随机数字>-<随机数字>-<随机数字>的病毒副本文件。假如都否的话,则试图打开网站www.disney.com。
3.病毒通过查找注册表得到用户默认的SMTP服务器(如:HKEY_CURRENT_USER\Software\Microsoft\InternetAccountManager\Accounts\00000001主键下),之后搜索*.wab和*.dbx文件中的所有邮箱,向它们发送带毒邮件。带毒邮件具体格式如下:
主题:newphotosfrommyparty!
正文:
Hello!
Myparty...Itwasabsolutelyamazing!
Ihaveattachedmywebpagewithnewphotos!
Ifyoucanpleasemakecolorprintsofmyphotos.Thanks!
附件:www.myparty.yahoo.com(29k左右的PE文件)
从附件的文件名来看,它会诱使有些用户认为点击此超链接将会链接至雅虎网站,实际上却运行了病毒。并且某些邮件客户端,非凡是那些在文件名下面加下划线的客户端,会使得附件更像一个URL地址。其实,病毒的附件是一个后缀为.COM的可执行文件,并不是URL,只要一运行就会感染机器。
此病毒目前只会在2002年1月25、26、27、28及29这几日通过邮件向外发送。另外,病毒会发送一封没有附件的邮件到"napster@gala.net"。
4.当被感染机器为WinNT操作系统,该蠕虫还会释放一个后门程序:
DocumentsandSettings\<用户名>\StartMenu\Programs\Startup\msstask.exe(即“开始”菜单的“启动”项)。该木马受网站http://209.151.250.170中一个配置文件控制。
