|
MYPARTY.A,
inaczej WORM_MYPARTY.A,
MYPARTY.A, MYPARTY, W32.Myparty@mm
Wirus stworzony w Visual C++.
Przychodzi z pocztą wraz z załacznikiem www.myparty.yahoo.com.
Po uruchomieniu na moment pojawia się okno
konsoli DOS.
Procedura rozsyłania
Modyfikowane są następujące rejestry:
dostęp
do domyślnego serwera SMTP użytkownika
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\00000001
dostęp
do książki adresowej Windows Address Book (WAB) .
HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4\WAB Filename
%X%
zmienna wskazująca na wartosć rejestru:
HKEY_CURRENT_USER\IDENTITIES\%X%\Software\
Microsoft\Outlook Express\5.0
Po spełnieniu określonych warunków wirus
łączy się z serwerem SMTP i korzystając z własnego mechanizmu pocztowego
rozsyła wiadomości pod adresy z Windows Address Book (WAB) i pliku Outlook
Express Database (DBX):
Temat: new photos from my
party!
Wiadomość: Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
Załącznik: www.myparty.yahoo.com
Pozostawione pliki
W systemach Windows 9x: plik C:\Recycled\REGCTRL.EXE.
W Windows NT:
C:\Recycler\F-<Random
Number>-<Random Number>
-<Random Number>
C:\Recycled\F-<Random
Number>-<Random Number>
-<Random Number>
C:\REGCTRL.EXE
Jak usunąć:
Udostępniamy opracowane przez specjalistów Trend
Micro narzędzie - fix_myparty.exe,
które automatycznie usuwa robaka i czyści system. Zalecamy aby zapoznali się
Państwo z instrukcją zamieszczoną w pliku readme_myparty.txt.
Windows 98:
- Zresetować system.
- Skanować programem antywirusowym Trend
Micro i usunąć wszystkie pliki zidentyfikowane jako WORM_MYPARTY.A i
BKDR_MYPARTY.A. Korzystać z najnowszych wzorców
wirusów i wersji motoru skanującego.
Windows NT/2000/XP:
- Ctrl+Alt+Delete.
- Wybrać Task Manager.
- Wybrać "Processes" .
- Odszukać “MSSTASK.EXE”.
- Zakończyć jego działanie wybierając
“End Process”.
- Skanować zasoby programami Trend Micro i
usunąć WORM_MYPARTY.A oraz BKDR_MYPARTY.A.
Windows Millennium Edition (ME):
Należy pamiętać o kopiach plików .EXE i .COM tworzonych przez tzw. System
Restore i składowanych w folderze _Restore. Zapisane tam pliki nie są
wprost dostępne dla oprogramowania antywirusowego. Przed skanowaniem zasobów
należy więc odblokować do nich dostęp.
Pozostawiane pliki
W systemach Windows 9x: plik C:\Recycled\REGCTRL.EXE.
W Windows NT:
C:\Recycler\F-<Random
Number>-<Random Number>
-<Random Number>
C:\Recycled\F-<Random
Number>-<Random Number>
-<Random Number>
C:\REGCTRL.EXE
W Windows NT/2000/XP:
%windows%\profile\%username%\Start Menu\Programs\Startup\MSSTASK.EXE
- msstask.exe jest identyfikowany jako
BKDR_MYPARTY.A.
- %windows% miejsce zainstalowania Windows,
zazwyczaj C:\Windows (Windows 9x) i C:\WinNT (Windows NT).
- %username% nazwa użytkownika systemu.
| 
