|
我的晚会 (My Party)病毒惊现
时至年尾,病毒再起作乱。近日,金山反病毒应急中心又成功捕获一例通过电子邮件传播的蠕虫病毒“我的晚会”(My Party),金山毒霸命名为Worm.MyParty.29696。此病毒最早于1月27日出现在俄罗斯,第二日便在亚洲地区突现,目前已开始向欧洲蔓延。
据金山反病毒应急中心对这一病毒的分析得知,这是一个通过Internet e-mail进行传播的蠕虫病毒。蠕虫病毒体文件长度29696字节,解压缩之后为92050字节,是用Microsoft Visual C++编写的。
该蠕虫所发送的邮件如下所示:
主题:new photos from my party!
正文: Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
附件:www.myparty.yahoo.com(注意:这是文件名,并非URL)
所幸的是,这个蠕虫并没有象最近流行的几个蠕虫一样利用ifram漏洞,这份附件必须要接到邮件的人主动打开它才会生效。
MyParty蠕虫运行后,将把自身种植在系统内并开启一份传播程序。依据系统的不同,该病毒所拷贝文件的路径也不同,在Win9X以及WinMe下,该蠕虫将在C:\根目录下生成一份regctrl.exe的文件,而在WinNT系列操作系统上(包括2K/XP),这份名为regctrl.exe的文件是拷贝到C:\Recycled目录下的。
同时病毒将会复制自身到C:\RECYCLER\F-%d-%d-%d 或者C:\RECYCLED\F-%d-%d-%d
其中%d会被病毒以随机数字代替,比如病毒有可能在选定的目录下生成类似这样的文件名:F-10027-29349-1986、F-25195-14962-23584、F-31548-33-18454、F-6375-21835-29323等等。
随后,蠕虫将会检查系统的键盘布局,当系统中支持俄罗斯键盘时,该蠕虫用同样的方法将自身也拷贝入RECYCLED/RECYCLER目录并退出自身。如果系统不支持俄罗斯键盘布局,蠕虫在2002年的1月25至29日进行真正的传播和后门工作。
作为传播,蠕虫将使用直接SMTP联结到e-mail服务器,为能获得染毒机器上的email列表,蠕虫将会扫描WAB文件-Windows的地址簿文件以及.DBX-Outlook Express的收件箱发件箱文件,搜索其中包含的e-mail地址。病毒同时也会发送一份比较特殊的邮件(没有附件)到napster@gala.net地址上。
后门工作方面,在WinNT/2000/XP系统上,病毒会在启动项目里创建一份可执行文件,即在执行病毒体的用户的目录下的Start Menu\Programs\Startup\msstask.exe文件,这个文件是一个后门程序。由于蠕虫定路径名称定得很死,在多数中文平台上不存在Start Menu\Programs\Startup这个目录,这个文件将会创建失败。
金山反病毒应急中心将此病毒危险级别定为中级,并紧急制作了金山毒霸升级包,因此,广大用户密切关注金山毒霸网站www.iduba.net,随时下载最新的升级包,以防范于未然。同时金山公司提醒您,在春节临近,喜庆气氛渐浓的岁尾,尤其要注意防范病毒,以一颗警惕的心去收取电子邮件,千万不要乱点附件,不要给病毒以可乘之机!
(,2002-02-06)
|
