Myparty

Myparty, gusano ruso de gran difusión masiva, utiliza un "backdoor" para control remoto.

I-Worm/Myparty, W32/Myparty@mm

Myparty es un gusano reportado el 28 de Enero del 2002, aparentemente creado en Rusia, de alta propagación masiva en Internet, debido a ello, ese mismo día ha sido reportado por algunas importantes empresas en Lima-Perú.

Es un clásico archivo con formato PE (Portable Ejecutable) de 30kb de extensión, comprimido con el utilitario UPX (Ultimate Packer for eXecutables) para dificultar su detección y posterior eliminación por parte de los Antivirus:

http://upx.sourceforge.net

Debido a esta característica, infecta los sistemas operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.

Se auto-envía a todos los buzones de la libreta de direcciones de MS Windows y a las direcciones de correo contenidas en los archivos .DBX (base de datos de mensajes de correo de MS Outlook Express) que encuentre en el sistema, en un mensaje de correo correo muy sugerente, con un archivo anexado de nombre www.myparty.yahoo.com simulando ser un inofensivo enlace de Internet, ya que la extensión .COM no pertenece a un dominio y es un archivo ejecutable renombrado.

Si el usuario ejecuta el archivo www.myparty.yahoo.com, el gusano inicialmente verifica la fecha del sistema ejecutando sus acciones bajo las siguientes condiciones:

Si el año actual es 2002, el mes es Enero y el día es menor que 25, se auto-copiará a la carpeta C:\Recycled o C:\Recycler del sistema y luego terminará su proceso.

Si el año actual es 2002, el mes es Enero y los días están entre 25 y 29 el gusano verifica la distribución del teclado, auto-copiándose a la papelera de reciclaje del sistema siempre y cuando dicha distribución este en Ruso, finalizando luego su proceso.

Adicionalmente a estas dos condiciones, en Sistemas Operativos MS Windows NT, que no sean de idioma ruso, el gusano creará un archivo de nombre MSSTASK.EXE en la carpeta C:\Windows\Start Menu\Programs\Startup con el objeto de ejecutar su código viral la próxima vez que reinicie Windows.

En forma muy peculiar, se conecta a través de un servidor SMTP (Simple Mail Transfer Protocol) predeterminado, obtenido desde el registro:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Account Manager\Accounts\000000001]

El archivo MSSTASK.EXE actúa como un "backdoor" y es controlado a través de rutinas CGI o JavaScript dentro del sub-directorio CGI-BIN de la dirección: 209.151.250.170 para poder monitorear y hasta controlar remotamente a los sistemas infectados. Actualmente esta dirección IP mencionada ha sido deshabilitada por su ISP (Proveedor de Servicios de Internet).

Si el Sistema Operativo es Windows 9x el gusano se auto-copiará a la papelera de reciclaje del sistema con el nombre REGCTRL.EXE. Si embargo si el Sistema es MS Windows NT se auto-copiará igualmente con el nombre REGCTRL.EXE pero esta vez en C:\

PER ANTIVIRUS® versión 7.3 con registro de virus al 28 de Enero del 2002 detecta y elimina eficientemente este gusano.