TT-NEWS Tischtennis Forum

TT-NEWS Tischtennis Forum (https://forum.tt-news.de/index.php)

- Stammtisch (https://forum.tt-news.de/forumdisplay.php?f=8)

- - Neuer Virus (https://forum.tt-news.de/showthread.php?t=4997)

Es ist mal wieder ein Wurm unterwegs. Ich habe die Beschreibung leider nur in englisch:
_____________________________________________________________

Description:

W32/MyParty-A is a Windows 32 email-aware worm which arrives as
an email with the following characteristics:

Subject:

new photos from my party!

Message text:

Hello!

My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

Attached filename:

www.myparty.yahoo.com

Some people may be fooled into believing the attached file is a
link to a website. If the attached file is executed the worm
sends a copy of itself to everybody in the Windows Address book
(except the current user) using a built in SMTP engine.

It gets the SMTP server information from the registry key:
HKCU\Software\Microsoft\Internet Account
Manager\Accounts\00000001

The worm also sends an email to napster@gala.net to track its
spread.

Read the analysis at
http://www.sophos.com/virusinfo/anal...2mypartya.html

Achtung

Der Wurm "Myparty", den ich vor Kurzem schon mal beschrieben habe, hat in Deutschland mittlerweile einige Male zugeschlagen.

Mittlerweile gibt es bei Symantec die Definitionen dafür (Datum 28. 1.)

Anzeichen sprechen dafür, dass es eine Welle wie seinerzeit bei "Badtrans" geben könnte.

Hier noch einmal die Beschreibung:

Name: Myparty
Alias: W32/Myparty.A@mm, WORM_MYPARTY.A, MYPARTY.A

Dieser Wurm tauchte am 28.01.02 zum ersten Mal auf. Er verbreitet sich in einer Mail mit dem Betreff "new photos from my party!" mit dem folgenden Text:

Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

Die anhängende Datei heisst "www.myparty.yahoo.com", die von einigen E-Mail-Programmen wie ein Link auf eine Website dargestellt wird.

Wird die Datei ausgeführt, infiziert Myparty zunächst den lokalen Rechner. Dazu kopiert sich der Wurm unter dem Namen REGCTRL.EXE in das Verzeichnis C:\RECYCLED\ und ruft diese Datei auf.

Aus dem Registry-Schlüssel

HKEY_CURRENT_USER\Software\Microsoft\Internet Account
Manager\Accounts\00000001

wird der voreingestellte SMTP-Server des PCs ermittelt, über den sich der Wurm per E-Mail an alle Adressen aus dem Windows-Adressbuch des infizierten Rechners versendet.