● 此 WWW 非彼 WWW——Myparty病毒详解 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: xhjx (.。o οоO ○ ), 信区: Virus
标题: 此 WWW 非彼 WWW——Myparty病毒详解
发信站: 荔园晨风BBS站 (Tue Mar 5 17:51:32 2002), 站内信件

　　一．背景：
　　
　　"WWW"，".com"，相信大家早已是耳闻目熟，不就是网址吗？呵呵，有些事情
可没这么简单，这不，Myparty，一种新病毒，开始借助这种"显而易见"的方式进
行传播了！
　　
　　第一个 Myparty 病毒始于 2002 年 1 月 28 日的新加坡，当时在获知这一消
息后并没在意，因为它是典型的 Visual C++ 病毒，并以 UPX 加密, 但让笔者始
料不及的是，短短几日内，据各方面的疫情报告来看，该病毒已遍布亚洲各国(印
度、中国、日本、韩国，等等)，并开始向欧洲与美国蔓延。
　　
　　本病毒传播得如此快速，除了用户缺乏必要的防范与警惕外，还因该病毒披着
件非?quot;迷人"的外衣——WWW ，而且借用的是大名鼎鼎的 Yahoo 网址。(www.
myparty.yahoo.com)
　　
　　事实上，此 WWW 非彼 WWW 也，Myparty 不过是披着件 WWW 外衣的 Visual
C++病毒，下面我们就来对它做个比较深入的了解。
　　
　　二．现象：
　　
　　本病毒主要通过 Outlook 、Outlook Express、Eudora、Netscape 等电子邮
件客户端进行传播。带毒邮件原文如下(如图一)：
　　
　　　　Subject(主题): new photos from my party!(来自朋友的新照片)
　　　　Body(正文):
　　　　Hello!(你好)
　　　　My party... It was absolutely amazing!(我的朋友...真地非常让人吃
惊)
　　　　I have attached my web page with new photos!If you can please
make color prints of my photos. Thanks!(我已经随信附上我的在线新照片，如
果你把它打印下来，本人将倍感荣幸)
　　　　Attachment(附件): www.myparty.yahoo.com
　　
　　

　　
图一

　　
　　请注意，附件以网址形式出现，但其图标并非网页文件的显示形式，而是以应
用程序的样式出现的！
　　
　　三．病毒的感染与传播过程：
　　
　　本病毒的感染与传播，基于操作系统的不同而略有区别；另外，可能该病毒是
俄国人编写的，带有浓重的"地方主义"色彩，如果对象是俄文操作系统，病毒会自
动中止本身的运行，也就是病毒不会感染俄式操作系统。
　　
　　1．系统时钟检查：
　　
　　病毒激活后，它会首先对系统时间进行检查。如果是 2002 年 1 月 25 日以
前，病毒会将自身放入"回收站"，然后停止运行，以后你在清空回收站时自动就把
病毒清除了，基本上它不会产生任何影响。
　　
　　但问题在于，到底有多少电脑的系统时钟故意调在 1 月 25 日之前？而且
Windows XP 的系统时钟锁死功能，如果你不怕重装系统就把时钟调回去吧。
　　
　　2．键盘设置检查：
　　
　　大家知道在装系统时，有一项键盘设置的选项，在这项里，我们可以选美式布
局(默认)，也可以选其他类型的键盘，其中就有一项是"俄式布局"，在系统代码中
，"俄国"用 0419 表示。
　　
　　Myparty 病毒进行时钟检查后就会对键盘设置进行检查，如果是代码是
0419(俄国)，病毒自动将自身放入"回收站"并停止运行。
　　
　　3．继续运行：
　　
　　病毒在用户的系统中创建名为 Msstask.exe 的自启动文件(\Start
Menu\Programs\Startup) ，并在系统重启后或者发送出病毒文件后自动运行。自
启动文件会在系统中留下一个后门，并通过 CGI 脚本加以控制。初步探测，其控
制权IP为 "209.151.250.170" (个人意见，请勿对号入座；同时，也可能是临时
IP 地址)。
　　
　　4．Win 9X 系统：
　　
　　病毒复制自身到"回收站"，名为 Regctrl.exe ；然后打开默认的浏览器，并
登陆 www.disney.com 网址，同时执行 Regctrl.exe 文件以留下后门，最后删除
原文件。
　　
　　5．Win NT 系统：
　　
　　病毒将自身复制到 C 盘根目录下，名为 Regctrl.exe ，然后打开系统默认的
浏览器登陆 www.disney.com 网站，同时执行 Regctrl.exe 文件。
　　
　　6．随扩展名不同而不同的感染过程：
　　
　　病毒在执行 Regctrl.exe 文件时会根据随机产生的文件扩展名不同而进行不
同操作。
　　
　　.COM 扩展名文件：病毒仅仅将 Regctrl.exe 文件复制到"回收站"目录中或 C
盘根目录下，然后删除原文件。
　　
　　.EXE 扩展名文件：病毒通过注册表以及 .DBX 文件(Outlook 邮件数据文件)
获取用户 SMTP 信息与邮件"地址簿"中的用户信息，并最后向所有获取的用户发送
带毒邮件！
　　
　　四．病毒的清除：
　　
　　1．Win 9X 系统：
　　
　　Win 9X 系统的病毒清除相对简单，只需重启系统，然后用最新的杀毒软件对
系统进行扫描并清除所有 Myparty 蠕虫病毒文件就行了。
　　
　　2．Win NT 系统：
　　

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店