A My Party féreg új variánsa terjed!

A W32.Myparty.B@mm elődjéhez hasonlóan a Windows, illetve az Outlook Express címlistáiból szerzi meg azokat az e-mail címeket, amelyekre aztán – saját SMTP motorját használva – továbbítja magát az adott gép felhasználójának nevében. A levél tárgya a következő: ”new photos from my party!”, a levéltörzsben pedig az alábbi szöveg áll: ”My party… It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!” Az elektronikus üzenethez csatolt file neve: www.myparty.yahoo.com.

Mivel az előző változat megjelenése óta arról is sikerült újabb információkat beszerezni, ezért most következzék először arról némi információ:

A W32.Myparty első variánsa, ha az adott komputeren a dátum 2002. NEM január 25 és 29 közötti, avagy a billentyűzetkiosztás orosz nyelvre van állítva, a következő helyre másolja magát:
C:/Recycled-F-–< véletlenszerű számok >–< véletlenszerű számok >
Ezek után kilép és be is fejezi tevékenységét. Egyéb esetben (ha más a dátum, illetve a billentyűzet nem oroszra van állítva) a My Party leellenőrzi saját file-nevét és kiterjesztését.

Ha kiterjesztése .com, a rendszer pedig Windows NT/2k/XP, a féreg létrehoz egy Regctrl.exe nevű állományt a C meghajtó gyökérkönyvtárában, Windows 9x és Me operációs rendszer esetében pedig ugyanezt az állományt a Recycled könyvtárba (azaz a Lomtárba) helyezi és onnan futtatja.

A Regctrl.exe lefuttatása után megkeresi az Outlook és Outlook Express levelezők címeket tartalmazó .dbx állományait, majd az itt talált összes címre továbbítja magát, ráadásul a felhasználó e-mail címét használva. Még itt sem áll le a My Party kártékony tevékenysége, ugyanis ha az áldozat gépen Windows NT/2k vagy XP operációs rendszer fut, még egy hátsó ajtóként működő programot is elhelyez a gépen (%Windows%/Start Menu/Programs/Startup/msstask.exe).

A trójai program a Windows újraindítása után lép működésbe. Csatlakozik a 209.151.250.170 IP címen elérhető weboldalhoz, amelyen keresztül a féreg készítője hozzáférést nyerhet az áldozat gépekhez. Végezetül küld egy értesítést a féreg saját készítőjének a napster@gala.net címre.

Ezzel szemben a MyParty.B variáns csak 2002. január 20-24 közötti dátum esetén hajtja végre magát, és a csatolt file neve is eltérő: myparty.photos.yahoo.com.

Eltávolításhoz Windows 9x rendszerek esetén ajánlott újraindítani a gépet Safe mode-ban, majd ki kell törölni a C:/Recyled/Regctrl.exe file-t, ezek után pedig egy vírusirtóval megkerestetni és eltávolíttatni az összes MyParty vírust, vagy Backdoor.MyParty trójai programot tartalmazó állományt. Windows NT/2k/XP esetén a Ctrl+Alt+Del billentyűk lenyomásával előbb be kell hozni a Task Managert, abban ki kell lőni a futó Msstasks.exe állományt és csak ezt követően kell megkerestetni a fertőzött állományokat, valamint a Regctrl.exe file-t.