Worm.Myparty.a

I-Worm.Myparty[AVP]，W32.Myparty@mm[NAV]，W32/Myparty@MM[McAfee]，WORM_MYPARTY.A[Trend]

蠕蟲

：Win9x / WinNT

若中毒計算機系統設定不為Russian，那么其發作時間段僅在2002年1月25 - 29間。該郵件病毒會在WinNT的作業系統上生成一個後門程式。

1.當用戶執行了帶毒附屬檔案病毒，若系統日期在2002年1月25日至29日之間或者系統設定為Russian，病毒會釋放副本到用戶計算機：

Win9x的作業系統複製為：C:\Recycled\regctrl.exe檔案，並且執行它。

WinNT的作業系統複製為：C:\regctrl.exe。

2.然後，病毒檢測帶毒郵件後綴是否為.COM或者剛才釋放的檔案後綴是否為.EXE，是的話則會在C:\Recycled目錄下生成沒有後綴的檔案名稱為F-<隨機數字>-< 隨機數字>-< 隨機數字>的病毒副本檔案。如果都否的話，則試圖打開網站。

3.病毒通過查找註冊表得到用戶默認的SMTP伺服器（如：HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001主鍵下），之後搜尋*.wab和*.dbx檔案中的所有信箱，向它們傳送帶毒郵件。帶毒郵件具體格式如下：

主題：new photos from my party!

正文：

Hello!

My party... It was absolutely amazing!

I have attached my web page with new photos!

If you can please make color prints of my photos. Thanks!

附屬檔案：（29k左右的PE檔案）

從附屬檔案的檔案名稱來看，它會誘使有些用戶認為點擊此超連結將會連結至雅虎網站，實際上卻運行了病毒。並且某些郵件客戶端，特別是那些在檔案名稱下面加下劃線的客戶端，會使得附屬檔案更像一個URL地址。其實，病毒的附屬檔案是一個後綴為.COM的執行檔，並不是URL，只要一運行就會感染機器。

此病毒目前只會在2002年1月25、26、27、28及29這幾日通過郵件向外傳送。另外，病毒會傳送一封沒有附屬檔案的郵件。

4.當被感染機器為WinNT作業系統，該蠕蟲還會釋放一個後門程式：

Documents and Settings\<用戶名>\Start Menu\Programs\Startup\msstask.exe（即“開始”選單的“啟動”項）。該木馬受網站http://209.151.250.170中一個配置檔案控制。