请输入您要查询的百科知识:

 

词条 Worm.Myparty.a
释义

病毒概述

病毒别名

I-Worm.Myparty[AVP],W32.Myparty@mm[NAV],W32/Myparty@MM[McAfee],WORM_MYPARTY.A[Trend]

处理时间

2002-01-27

威胁级别

中文名称

我的晚会

病毒类型

蠕虫

影响系统

:Win9x / WinNT

病毒行为

这是一个通过邮件传播的蠕虫病毒,最早出现在俄罗斯。若中毒计算机系统设置不为Russian,那么其发作时间段仅在2002年1月25 - 29间。该邮件病毒会在WinNT的操作系统上生成一个后门程序。

1.当用户执行了带毒附件病毒,若系统日期在2002年1月25日至29日之间或者系统设置为Russian,病毒会释放副本到用户计算机:

Win9x的操作系统复制为:C:\\Recycled\\regctrl.exe文件,并且执行它。

WinNT的操作系统复制为:C:\\regctrl.exe。

2.然后,病毒检测带毒邮件后缀是否为.COM或者刚才释放的文件后缀是否为.EXE,是的话则会在C:\\Recycled目录下生成没有后缀的文件名为F-<随机数字>-< 随机数字>-< 随机数字>的病毒副本文件。如果都否的话,则试图打开网站www.disney.com。

3.病毒通过查找注册表得到用户默认的SMTP服务器(如:HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Account Manager\\Accounts\\00000001主键下),之后搜索*.wab和*.dbx文件中的所有邮箱,向它们发送带毒邮件。带毒邮件具体格式如下:

主题:new photos from my party!

正文:

Hello!

My party... It was absolutely amazing!

I have attached my web page with new photos!

If you can please make color prints of my photos. Thanks!

附件:www.myparty.yahoo.com(29k左右的PE文件)

从附件的文件名来看,它会诱使有些用户认为点击此超链接将会链接至雅虎网站,实际上却运行了病毒。并且某些邮件客户端,特别是那些在文件名下面加下划线的客户端,会使得附件更像一个URL地址。其实,病毒的附件是一个后缀为.COM的可执行文件,并不是URL,只要一运行就会感染机器。

此病毒目前只会在2002年1月25、26、27、28及29这几日通过邮件向外发送。另外,病毒会发送一封没有附件的邮件到"napster@gala.net"。

4.当被感染机器为WinNT操作系统,该蠕虫还会释放一个后门程序:

Documents and Settings\\<用户名>\\Start Menu\\Programs\\Startup\\msstask.exe(即“开始”菜单的“启动”项)。该木马受网站http://209.151.250.170中一个配置文件控制。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/24 8:07:33