ウイルス情報

ウイルス名 危険度

W32/Myparty.a@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4184
対応定義ファイル
(現在必要とされるバージョン)
4274 (現在7652)
対応エンジン 5.1.00以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Myparty (AVP)
MyParty (F-Secure)
W32.Myparty@mm (NAV)
W32/MyParty-A (Sophos)
W32/Myparty@MM
W32/Myparty@MM (Panda)
Win32.MyParty (CA)
Win32.MyParty.A (AVX)
WORM_MYPARTY.A (Trend)
亜種 W32/Myparty.b@MM
情報掲載日 02/01/28
発見日(米国日付) 02/01/27
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法
MyParty対策のための緊急インターネットセミナー放送のお知らせ
MyPartyウイルスへの対処方法を説明するインターネットセミナーを、1/30, 1/31, 2/1の三日間の間、開催します。インターネット放送セミナーなので、お申し込みいただけば、自分のPCで好きな時間にセミナーを見ることができます。

2/5日更新情報
好評につき2/6まで、延長して放送いたします。


1/31日更新情報

ウイルス定義ファイル4184の発行に伴い、Extra.datの適用は不要となりました。


1/29日更新情報

Extra.datを更新しました。(亜種BとBackDoor-AAFにも対応させました)。ファイル名 (99332a.zip → 99332b.zip)

概要

TOPへ戻る

ウイルスの特徴

図解:MyPartyとはどんなウイルスなのか?

大量メール送信型のウイルス、W32/Myparty.a@MMは、WindowsNT/2K/XPにトロイの木馬ウィルス(BackDoor-AAF)を落とし込みます。

このウイルス自身は、以下のようなメール内容で送られてきます。

件名: new photos from my party!
本文: Hello!
添付ファイル:www.myparty.yahoo.com (29,696バイトのPE型実行ファイル)

My party... It was absolutely amazing!
I have attached my web page with new photos!
If you can please make color prints of my photos. Thanks!

この添付ファイル名は、URLの".COM"と実行ファイル拡張子".COM"が共通であるという点を利用して、クリックするとYahooサイトに行くと思わせようとしています。 実際にはe-mailクライアントは この添付ファイルは.comの拡張子の実行ファイルで、URLではありません。実行するとローカルマシンを感染します。

Windows9x/ME
  • 2002年1月25日から29日の間だと、 C:\Recycled\regctrl.exe にこのウィルス自身をコピーして、実行します。
WinNT/2K/XP
  • 2002年1月25日から29日の間以外だと、
    C:\Recycled
    に拡張子なしのF-[ランダムな数字]-[ランダムな数字]-[ランダムな数字] というファイル名をつけて、ウイルス自身を保存します。
  • 2002年1月25日から29日の間だと、 C:\regctrl.exe
    にウイルス自身をコピーし、スタートアップフォルダにトロイの木馬ウィルスのMSSTASK.EXEを追加します。1回実行されると、スタートアップから削除されます。実行ファイルがACCESSだと、www.disney.comのサイトに行きます。

このウィルスがメールを大量送信するのは2002年1月25日から29日の間だけです(25,29日を含む)。ユーザーのデフォルトSMTPサーバをレジストリから探し出します。

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\00000001

Windows Address Book や.DBXファイルから探し出したアドレス全てにウィルス自身を送信します。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • C:\RECYCLED\REGCTRL.EXEが存在している。(DOSプロンプトからは、見られるが、Windowsからは見られない)
  • C:\REGCTRL.EXE が存在している。
  • %userprofile%\Start Menu\Programs\Startup\msstask.exe が存在している。

TOPへ戻る

感染方法

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

Windows ME/XPでの駆除についての補足

TOPへ戻る