Dátum: 2002. január 30., 11:15
Feladó: Tepliczky István --
Tárgy: Offtopic, de fontos: vírusriadó
Újabb veszélyes e-mail vírus!
A a legújabb féregvírus olyan hírhedt elődökkel
büszkélkedhet, mint a Kournikova vagy a Nimda.
A vírus egy 'new photos from my party' című e-mailben terjed, amely egy
yahoo-ra mutató hamis linket tartalmaz. A vírus aktiválása után a
címjegyzékben szereplő összes e-mail címre szétküldi magát.
Jól mutatja a vírusok terjedési sebességét, hogy a világszerte január 28-án
feltűnt vírus ugyanaznap több magyar cég mailbox-ába is megérkezett
I-Worm.Myparty
------------------------
Névváltozatok:
Ez a féregvírus az Interneten fertőzött email üzenetek mellékleteiben terjed.
A Myparty MS Visual C++ nyelven készült Windows PE EXE file, a hossza körülbelül
30 kB. A programot az UPX nevű compressor segítségével tömörítettek össze,
eredeti hossza 76 kB.
A fertőzött levél az alábbiak szerint néz ki:
Tárgy/Subject: new photos from my party!
A levél tartalma/Body:
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
Melléklet/Attachment: www.myparty.yahoo.com
A féreg csak akkor aktiválódik, ha a fertőzött mellékletre rákattintanak.
Ekkor telepíti magát a rendszerre, lefuttatja a terjedéséhez szükséges rutinját.
A féreg kétfeleképpen telepíti magát:
WinNT/2K/XP esetén c:\regctrl.exe, Win9x/ME esetén c:\recycled\regctrl.exe
néven hoz létre állományt.
Ha a levélmellékletben levő féreg neve nem .COM hanem .EXE végződésű, akkor
megnyitja a " http://www.disney.com" címet is.
Az eredeti állomány (amennyiben a fertőzött levélmellékletből indítják)
áthelyezi magát a Recycled vagy Recycler könyvtárba az alábbi módon:
C:\RECYCLER\F-%1-%2-%3
C:\RECYCLED\F-%1-%2-%3
ahol a %1, %2, %3 véletlenszerűen választott számok, például:
F-12158-19044-21300
F-27729-23255-31008
Ez a rész csak akkor fut le, ha a rendszer dátum a 2002. január 25-29 közti
időszakra esik és nincs a billentyűzet kiosztások között orosz nyelvű (0419).
Emiatt az orosz kiosztással rendelkező gépek védettek ellene.
Terjedés
------------
A féreg a Windows címjegyzékben (Adress Book) és a .DBX (Outlook Express)
állományokban kutat címek után és ezekre küldi tovább magát.
A terjedéshez közvetlenül az alapbeállításban szereplő SMTP mail servert
használja, ezt a Windows regisztrációs adatbázisból olvassa ki.
Ezenkívül a féreg elküld még egy melléklet nélküli levelet a
címre is.
Hátsóajtó funkció
---------------------
A nem orosz billentyűzet kiosztású Windows NT/2000/XP alatt a féreg a
felhasználó auto-run könyvtárában
( %Userprofile%\Start Menu\Programs\Startup\ )
létrehozza a msstask.exe bejegyzést és egy kémprogramot másol be erre a
helyre.
További ismert mutációk
---------------------------
A Myparty.b csak igen kismértékben tér el az eredeti variánstól. A különbség
mindössze annyi, hogy a levélmelléklet neve itt "myparty.photos.yahoo.com"-ra
változott.