Igiho stránka o virech

I-Worm/MyParty.A

Win32:MyParty je novým masově se šířícím wormem, který ale neobsahuje žádnou destrukční činnost. Přichází v infikované zprávě elektronické pošty, která má následující vlastnosti:

Subjekt/Předmět: new photos from my party! Tělo/Body:

 Hello!
 My party... It was absolutely amazing!
 I have attached my web page with new photos!
 If you can please make color prints of my photos. Thanks!

Příloha/Attachment: www.myparty.yahoo.com (29,696 bytů dlouhý)

Ačkoli jméno připojeného souboru připomíná jméno webové stránky, ve skutečnosti se jedná o spustitelný program s příponou .COM.

Tento worm se šíří jen ve velmi omezeném časovém okénku. Je aktivní pouze mezi 25. a 29. lednem 2002 (včetně). Během této doby se worm pod systémy on Windows 9x/Me zkopíruje do souboru C:\Recycled\regctrl.exe a odtud se spustí. Pod systémy WinNT/2K/XP se worm zkopíruje do souboru C:\regctrl.exe a také vypustí soubor MSSTASK.EXE do adresáře STARTUP. Tento soubor je trojan typu backdoor.

Také rozesílající část viru je aktivní pouze během výše zmíněné periody. Worm zjistí z registry adresu implicitní brány SMTP a pak se pomocí vlastní SMTP rutiny rozešle na všechny adresy, které nalezne ve Windows Address Book a také na adresy uložené v souborech .DBX.

Odstranění:

Smazat soubor:

C:\Recycled\F-{náhodné číslo}-{náhodné číslo}-{náhodné číslo}

Regctrl.exe (je v C:\RECYCLED, nebo C:\)

{adresář s Windows}\Start Menu\Programs\Startup\msstask.exe

I-Worm/MyParty.B

Win32:MyParty-B je velice podobným wormem. Liší se v období časové aktivity, která leží mezi 20. a 24. lednem 2002. Používá také trochu jiné jméno připojeného souboru: myparty.photos.yahoo.com

Zdroj: Alwil software - výrobce antiviru AVAST