Worm.Myparty.a

病毒别名：I-Worm.Myparty[AVP]，W32.Myparty@mm[NAV]，W32/Myparty@MM[McAfee]，WORM_MYPARTY.A[Trend]

处理时间：2002-01-27

威胁级别：★★

中文名称：我的晚会

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个通过邮件传播的蠕虫病毒，最早出现在俄罗斯。若中毒计算机系统设置不为Russian，那么其发作时间段仅在2002年1月25 - 29间。该邮件病毒会在WinNT的操作系统上生成一个后门程序。

1.当用户执行了带毒附件病毒，若系统日期在2002年1月25日至29日之间或者系统设置为Russian，病毒会释放副本到用户计算机：

Win9x的操作系统复制为：C:Recycled

egctrl.exe文件，并且执行它。

WinNT的操作系统复制为：C:

egctrl.exe。

2.然后，病毒检测带毒邮件后缀是否为.COM或者刚才释放的文件后缀是否为.EXE，是的话则会在C:Recycled目录下生成没有后缀的文件名为F-<随机数字>-< 随机数字>-< 随机数字>的病毒副本文件。如果都否的话，则试图打开网站www.disney.com。

3.病毒通过查找注册表得到用户默认的SMTP服务器（如：HKEY_CURRENT_USERSoftwareMicrosoftInternet Account ManagerAccounts0000001主键下），之后搜索*.wab和*.dbx文件中的所有邮箱，向它们发送带毒邮件。带毒邮件具体格式如下：

主题：new photos from my party!

正文：

Hello!

My party... It was absolutely amazing!

I have attached my web page with new photos!

If you can please make color prints of my photos. Thanks!

附件：www.myparty.yahoo.com（29k左右的PE文件）

从附件的文件名来看，它会诱使有些用户认为点击此超链接将会链接至雅虎网站，实际上却运行了病毒。并且某些邮件客户端，特别是那些在文件名下面加下划线的客户端，会使得附件更像一个URL地址。其实，病毒的附件是一个后缀为.COM的可执行文件，并不是URL，只要一运行就会感染机器。

此病毒目前只会在2002年1月25、26、27、28及29这几日通过邮件向外发送。另外，病毒会发送一封没有附件的邮件到"napster@gala.net"。

4.当被感染机器为WinNT操作系统，该蠕虫还会释放一个后门程序：

Documents and Settings<用户名>Start MenuProgramsStartupmsstask.exe（即“开始”菜单的“启动”项）。该木马受网站http://209.151.250.170中一个配置文件控制。