词条 | Worm.Myparty.a |
释义 | 病毒概述病毒别名I-Worm.Myparty[AVP],W32.Myparty@mm[NAV],W32/Myparty@MM[McAfee],WORM_MYPARTY.A[Trend] 处理时间2002-01-27 威胁级别中文名称我的晚会 病毒类型蠕虫 影响系统:Win9x / WinNT 病毒行为这是一个通过邮件传播的蠕虫病毒,最早出现在俄罗斯。若中毒计算机系统设置不为Russian,那么其发作时间段仅在2002年1月25 - 29间。该邮件病毒会在WinNT的操作系统上生成一个后门程序。 1.当用户执行了带毒附件病毒,若系统日期在2002年1月25日至29日之间或者系统设置为Russian,病毒会释放副本到用户计算机: Win9x的操作系统复制为:C:\\Recycled\\regctrl.exe文件,并且执行它。 WinNT的操作系统复制为:C:\\regctrl.exe。 2.然后,病毒检测带毒邮件后缀是否为.COM或者刚才释放的文件后缀是否为.EXE,是的话则会在C:\\Recycled目录下生成没有后缀的文件名为F-<随机数字>-< 随机数字>-< 随机数字>的病毒副本文件。如果都否的话,则试图打开网站www.disney.com。 3.病毒通过查找注册表得到用户默认的SMTP服务器(如:HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Account Manager\\Accounts\\00000001主键下),之后搜索*.wab和*.dbx文件中的所有邮箱,向它们发送带毒邮件。带毒邮件具体格式如下: 主题:new photos from my party! 正文: Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks! 附件:www.myparty.yahoo.com(29k左右的PE文件) 从附件的文件名来看,它会诱使有些用户认为点击此超链接将会链接至雅虎网站,实际上却运行了病毒。并且某些邮件客户端,特别是那些在文件名下面加下划线的客户端,会使得附件更像一个URL地址。其实,病毒的附件是一个后缀为.COM的可执行文件,并不是URL,只要一运行就会感染机器。 此病毒目前只会在2002年1月25、26、27、28及29这几日通过邮件向外发送。另外,病毒会发送一封没有附件的邮件到"napster@gala.net"。 4.当被感染机器为WinNT操作系统,该蠕虫还会释放一个后门程序: Documents and Settings\\<用户名>\\Start Menu\\Programs\\Startup\\msstask.exe(即“开始”菜单的“启动”项)。该木马受网站http://209.151.250.170中一个配置文件控制。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。