Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Myparty - instaluje backdoor'a

Jest to robak rozprzestrzeniający się poprzez Internet w postaci pliku załączonego do wiadomości e-mail. Szkodnik ma postać pliku PE EXE o rozmiarze około 30 KB i został stworzony w środowisku programistycznym Microsoft Visual C++.

Zainfekowane wiadomości wyglądają następująco:

Temat: new photos from my party!

Treść:

Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

Załączony plik: www.myparty.yahoo.com

Robak aktywuje się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi plik załączony do wiadomości.

Instalacja

Podczas instalowania się w systemie robak tworzy następujące pliki:

  • c:\regctrl.exe (w systemach WinNT/2K/XP)
  • c:\recycled\regctrl.exe (w systemach Win9x/Me)

Jeżeli nazwa pliku robaka posiada rozszerzenie EXE otwiera on stronę http://www.disney.com.

Oryginalny plik robaka jest przenoszony do folderu Recylced lub Recycler z jedną z poniższych nazw:

  • C:\RECYCLER\F-%1-%2-%3
  • C:\RECYCLED\F-%1-%2-%3

gdzie %1, %2, %3 to generowane losowo liczby.

Podczas instalacji robak sprawdza układ klawiatury i jeżeli jest to układ rosyjski kopiuje się do katalogu Recycled/Recycler. Podobna operacja wykonywana jest każdego dnia z wyjątkiem 25-29 stycznia 2002.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje bezpośrednie połączenie z serwerem SMTP. Adresy "ofiar" pobierane są z plików WAB (książka adresowa Windows) oraz DBX (pliki programu Outlook Express).

Dodatkowo robak wysyła jedną wiadomość (bez załącznika) pod adres "napster@gala.net".

Backdoor

W systemach WinNT/2000 robak tworzy nowy plik w katalogu auto-run użytkownika:

%Userprofile%\Start Menu\Programs\Startup\msstask.exe

i zapisuje do niego program backdoor. Program ten jest uruchamiany przez kod przechowywany na stronie WWW.



 2002-01-28  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych