News 28.01.2002, 14:30 Uhr

W32.MyParty

Statt der versprochenen Party-Fotos gibts mit der Datei «www.myparty.yahoo.com» nur lästigen Wurm-Ärger.
Der Mail-Wurm, der bei Sophos [1] und Norman [2] als "W32/MyParty-A" bekannt ist, trifft in einer Mail ein, die so aussieht:
Betreff: new photos from my party!
Mail-Text: "Hello!
My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!"
Name der Mail-Beilage: www.myparty.yahoo.com
Weil der Beilagen-Name wie eine Webadresse aussieht, klicken viele Benutzer arglos drauf und infizieren dadurch ihren PC. Der Wurm kopiert sich dann auf Systemen mit Windows 9x/ME mit dem Namen REGCTRL.EXE direkt nach C:\ oder auf Systemen mit Windows NT/2000/XP in den Papierkorb-Ordner C:\RECYCLED\. Die Originaldatei, die aus der infizierten Mail ausgeführt wurde, verschiebt sich ebenfalls in Papierkorb-Ordner, allerdings auch unter einem neuen Namen, wie beispielsweise F-12158-19044-21300 oder F-27729-23255-31008.
Der MyParty-Wurm trägt sich in die Windows Registry ein, um bei jedem PC-Start geladen zu werden. Für die Verbreitung verschickt er sich mit den oben genannten Merkmalen an sämtliche Adressen im Adressbuch von Windows (WAB) bzw. Outlook Express.
Unter Windows NT, Windows 2000 und Windows XP habe er gemäss dem Kaspersky-Virenlabor noch einen unangenehmen Nebeneffekt: Auf diesen Betriebssystemen installiert der Wurm einen Trojaner, der im System eine Hintertüre öffnet.
Übrigens sei der Wurm zumindest in dieser ersten Variante nur vom 25. bis zum 29. Januar aktiv. Weitere Infos gibts auch bei Kaspersky [3], Symantec [4] oder NAI [5].



Kommentare
Es sind keine Kommentare vorhanden.