|
Achtung
Der Wurm "Myparty", den ich vor Kurzem schon mal beschrieben habe, hat in Deutschland mittlerweile einige Male zugeschlagen.
Mittlerweile gibt es bei Symantec die Definitionen dafür (Datum 28. 1.)
Anzeichen sprechen dafür, dass es eine Welle wie seinerzeit bei "Badtrans" geben könnte.
Hier noch einmal die Beschreibung:
Name: Myparty
Alias: W32/Myparty.A@mm, WORM_MYPARTY.A, MYPARTY.A
Dieser Wurm tauchte am 28.01.02 zum ersten Mal auf. Er verbreitet sich in einer Mail mit dem Betreff "new photos from my party!" mit dem folgenden Text:
Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!
Die anhängende Datei heisst "www.myparty.yahoo.com", die von einigen E-Mail-Programmen wie ein Link auf eine Website dargestellt wird.
Wird die Datei ausgeführt, infiziert Myparty zunächst den lokalen Rechner. Dazu kopiert sich der Wurm unter dem Namen REGCTRL.EXE in das Verzeichnis C:\RECYCLED\ und ruft diese Datei auf.
Aus dem Registry-Schlüssel
HKEY_CURRENT_USER\Software\Microsoft\Internet Account
Manager\Accounts\00000001
wird der voreingestellte SMTP-Server des PCs ermittelt, über den sich der Wurm per E-Mail an alle Adressen aus dem Windows-Adressbuch des infizierten Rechners versendet.
|