VIREN-INFORMATIONS-SEITE

NAME: Myparty
ALIAS: I-Worm.Myparty, W32/Myparty@mm
TYP: Wurm
F-PROT: wird erkannt und beseitigt
Größe 29696
Herkunft: Russland
Varianten: Myparty.B
Myparty.C
Datum: 28.01.2002 Update 5.2.2002
Beseitigung: Anleitung zur Beseitigung

W32/Myparty Wurm hat sich am 28.1.2002 ausgebreitet. Zunächst wurde er in Singapur und anderen asiatischen Ländern ausgemacht, bald darauf auch in Europa und den USA.

Dieser Wurm breitet sich unter folgender Nachricht aus:

    Betreff:    new photos from my party!                     
    Text:       Hello!                     
                My party... It was absolutely amazing!
                I have attached my web page with new photos!
                If you can please make color prints of my photos. Thanks!                     
    Anhang: www.myparty.yahoo.com

Bei manchen E-MAIL-Programmen kann der Anhang wie ein Link auf ein Webseite aussehen.

Der Wurm ist eine PE EXE Datei der Größe 30KB, komprimiert mit einem modifizierten UPX-Datei-Packer. der Ursprung des Wurms ist mit großer :Wahrscheinlichkeit Rußland. Er verhält sich auf Windows NT und Windows 9x-Systemen leicht unterschiedlich. Auf einem nicht-russischen NT-System installiert er ein Backdoor-Programm, das über ein Skript auf einer nicht lokalen Webseite kontrolliert wird.

Wenn der Wurm aktiviert wird, überprüft er zunächst das Systemdatum. Falls das Jahr 2002, der Monat Januar und der Tag vor dem 25. liegt, versucht der Wurm sich in das Verzeichnis \Recycled oder \Recycler zu kopieren und beendet seinen Prozess.Falls das datum zwischen dem 25. und 29. liegt, führt er diese Operation nicht aus und arbeitet weiter.

Dann überprüft der Wurm das Tastaturlayout und falls eines der Layouts 0419 (Russisch) ist, kopiert der Wurm sich in das Verzeichnis Recycled Bin und beendet seinen prozess. Somit sind Systeme mit russischem Tastatur-Layout nicht angreifbar.

Auf nicht-russischen NT-Systemen installiert der Wurm das Backdoor-Programm MSSTASK.EXE in das benutzespezifische Startverzeichniss \Start Menu\Programs\Startup. Dieses Programm wird beim nächsten Windowsstart aktiviert und ebenfalls nachdem der Wurm sich selbst verschickt hat. Das installierte programm ist ein Backdoor-Programm, das über ein CGI-Skript auf der Webseite '209.151.250.170' kontrolliert wird.

Der Wurm überprüft den Namen, mit dem er gestartet wurde. Falls das Betriebssystem Windows 9x ist, kopiert sich der Wurm in das Verzeichnis Recycled Bin als REGCTRL.EXE. Anschließend öffnet er einen Standardwebbrowser mit der Startseite 'www.disney.com' und führt die Datei REGCTRL.EXE aus. Auf nicht Windows 9x-Systemen versucht er den Namen REGCTRL.EXE durch einen zufälligen Dateinamen zu ersetzten.

Falls der Wurm unter einem Dateinamen *.COM gestartet wurde, kopiert er sich als REGCTRL.EXE entweder in das Verzeichnis \Recycled oder das Wurzelverzeichnis auf C:\ und verschiebt die Originaldatei, mit der er gestartet wurde nach Recycled Bin.

Falls der Wurm als EXE-Datei gestartet wurde, holt er sich die SMTP-Server-Adresse und E-Mail-Adresse aus der Registry. Ausserdem sucht er nach der Windows Adressen-Datenbank und übernimmt von dort E-Mail-Adressen, ebenso auch aus *.DBX-Dateien (Outlook E-Mail-Datenbank). Zum Schluss versendet er sich an alle gefundenen E-Mail-Adressen. Nach diesem Massen-Mail-Versand, verschiebt er seine Datei nach Recycled Bin und aktiviert ein Backdoor-Programm, falls es vorher im Startup-Verzeichnis des gegenwärtigen Benutzerprofils abgelegt wurde.

So sieht die Nachricht und der Text unter Outlook-Express aus:

So sieht die Nachricht und der Text unter Outlook aus:

So sieht die Nachricht und der Text unter Outlook XP aus:

So sieht die Nachricht und der Text unter Netscape 4.61 aus:

So sieht die Nachricht und der Text unter Netscape 6.21 aus:

So sieht die Nachricht und der Text unter Eudora 5 aus:

Die aktuellen Signaturen vom 28.01.2002 11:30:44 (GMT +2) können Myparty entdecken.

VARIANTE: Myparty.b

Diese Version wurde etwas später als Variante .A am 28. Januar 2002 entdeckt - sie scheint die Version Myparty.a vorzudatieren: Ausbreitung im Zeitraum vom 20.-24. Januar 2002.

VARIANTE: Myparty.c

Worm/MyParty.C - ist eine minimale Variante des Worm/MyParty.A. Er benutzt seine eigene SMTP-Routine, um ungewollte E-MAIL-Nachrichten aus dem Windows-Adressbuch zu versenden. Der Anhang tarnt sich als Link auf eine Webseite.
Aufgetaucht ist diese Variante erstmals am 5.2.2002.


Anleitung zur Beseitigung

Falls Sie Windows 9x nutzen, starten Sie Ihren Computer neu.
Dann suchen Sie alle Festplatten nach dem Wurm ab und löschen alle gefundenen Dateien des Myparty-Wurm. Sie müssen dazu 'Delete' bei der Desinfektions-Auswahl angeben.

Wichtig: Geben sich nicht 'Delete' an, falls der Wurm in einer E-MAIL-Datenbank gefunden wurde.

Auf NT-Systemen öffnen Sie den Task-Manager, wählen Sie 'Prozesse', suchen Sie nach dem 'msstask.exe' Prozess. wählen Sie diesen aus und klicken auf beenden des Prozesses. Wichtig: klicken Sie nicht auf Prozess abbrechen! Danach suchen Sie nach der Datei MSSTASK.EXE auf der Festplatte. Sie sollte im Verzeichnis \Start Menu\Programmme\Startup zu finden sein und löschen Sie diese Datei.

[Analyse: A. Podrezov, S. Rautiainen, V-J Kesti, M. Hyppönen; F-Secure; 28. Januar 2002; Übersetzung F-PROT in Deutschland und @ntivirus-shop.com]

 

zurück