Virus MyParty

SERVER DI POSTA
HOME	Computer & Dintorni	I VIRUS	Stampa la pagina

Il worm arriva come file allegato a una e.mail. Il file è una applicazione di Windows di circa 30Kb, è scritta con Microsoft Visual C++, è compressa con una utility UPX. Il messaggio infetto arriva con le caratteristiche:

Oggetto: new photos from my party!

Messaggio: Hello! My party... It was absolutely amazing! I have attached my web page with new photos! If you can please make color prints of my photos. Thanks!

Allegato: www.myparty.yahoo.com

Il file contenente il virus, è quello che sembrerebbe essere, invece, un indirizzo Internet. Chi riceve il messaggio, non penserà mai che il link può essere nocivo e vi cliccherà sopra senza porsi tanti problemi. In questo modo viene attivato un codice maligno. Questa forma di messaggio è sicuramente una nuova tecnica per convincere gli utenti a cliccare per attivare un worm e, quindi, occorre cominciare a pensare che non tutto ciò che comincia con "www" e termina in ".com" è un sito Internet. Se la data di sistema del computer è compresa tra il 25 e il 29 Gennaio 2002, "Myparty" si installa nel sistema ed esegue il check della presenza del supporto per la lingua Russa. Se questo è "detected" il worm termina le operazioni e chiude il sistema. Per mantenere una copia di se, MyParty si copia in diverse directory di sistema scelte a caso e le registra nel "Windows Registry" nella chiave di auto-start. Per trovare utenti a cui inviare copie di se stesso, MyParty utilizza la rubrica di Outlook e Outlook Express oltre a tutti i file DBX. Dopo questo check, stabilisce una connessione con un server SMTP e invia in maniera nascosta copie di se stesso a tutti gli utenti trovati. Per confermare l'infezione il worm invia anche una e.mail vuota all'indirizzo napster@gala.net. "Myparty" ha molte caratteristiche di pericolosità. Sui computer con installato Windows NT, 2000 o XP, il worm installa un "programma spia" per il controllo remoto non autorizzato. Un pirata informatico può accedere tranquillamente al pc infetto. Oltre a questo, a seconda delle condizioni, MyParty apre l'indirizzo http://www.disney.com, senza scopi apparenti