一．背景：

　　"WWW"，".com"，相信大家早已是耳闻目熟，不就是网址吗？呵呵，有些事情可没这么简单，这不，Myparty，一种新病毒，开始借助这种"显而易见"的方式进行传播了！

　　第一个 Myparty 病毒始于 2002 年 1 月 28 日的新加坡，当时在获知这一消息后并没在意，因为它是典型的 Visual C++ 病毒，并以 UPX 加密, 但让笔者始料不及的是，短短几日内，据各方面的疫情报告来看，该病毒已遍布亚洲各国(印度、中国、日本、韩国，等等)，并开始向欧洲与美国蔓延。

　　本病毒传播得如此快速，除了用户缺乏必要的防范与警惕外，还因该病毒披着件非?quot;迷人"的外衣——WWW ，而且借用的是大名鼎鼎的 Yahoo 网址。(myparty.yahoo.com)

　　事实上，此 WWW 非彼 WWW 也，Myparty 不过是披着件 WWW 外衣的 Visual C++病毒，下面我们就来对它做个比较深入的了解。

　　二．现象：

　　本病毒主要通过 Outlook 、Outlook Express、Eudora、Netscape 等电子邮件客户端进行传播。带毒邮件原文如下(如图一)：

　　Subject(主题): new photos from my party!(来自朋友的新照片)

　　Body(正文):

　　Hello!(你好)

　　My party... It was absolutely amazing!(我的朋友...真地非常让人吃惊)

　　I have attached my web page with new photos!If you can please make color prints of my photos. Thanks!(我已经随信附上我的在线新照片，如果你把它打印下来，本人将倍感荣幸)

　　Attachment(附件): myparty.yahoo.com

　　

　　

图一

　　请注意，附件以网址形式出现，但其图标并非网页文件的显示形式，而是以应用程序的样式出现的！

　　三．病毒的感染与传播过程：

　　本病毒的感染与传播，基于操作系统的不同而略有区别；另外，可能该病毒是俄国人编写的，带有浓重的"地方主义"色彩，如果对象是俄文操作系统，病毒会自动中止本身的运行，也就是病毒不会感染俄式操作系统。

　　1．系统时钟检查：

　　病毒激活后，它会首先对系统时间进行检查。如果是 2002 年 1 月 25 日以前，病毒会将自身放入"回收站"，然后停止运行，以后你在清空回收站时自动就把病毒清除了，基本上它不会产生任何影响。

　　但问题在于，到底有多少电脑的系统时钟故意调在 1 月 25 日之前？而且 Windows XP 的系统时钟锁死功能，如果你不怕重装系统就把时钟调回去吧。

　　2．键盘设置检查：

　　[iduba_page]

　　大家知道在装系统时，有一项键盘设置的选项，在这项里，我们可以选美式布局(默认)，也可以选其他类型的键盘，其中就有一项是"俄式布局"，在系统代码中，"俄国"用 0419 表示。

　　Myparty 病毒进行时钟检查后就会对键盘设置进行检查，如果是代码是 0419(俄国)，病毒自动将自身放入"回收站"并停止运行。

　　3．继续运行：

　　病毒在用户的系统中创建名为 Msstask.exe 的自启动文件(Start MenuProgramsStartup) ，并在系统重启后或者发送出病毒文件后自动运行。自启动文件会在系统中留下一个后门，并通过 CGI 脚本加以控制。初步探测，其控制权IP为 "209.151.250.170" (个人意见，请勿对号入座；同时，也可能是临时 IP 地址)。

　　4．Win 9X 系统：

　　病毒复制自身到"回收站"，名为 Regctrl.exe ；然后打开默认的浏览器，并登陆 disney.com 网址，同时执行 Regctrl.exe 文件以留下后门，最后删除原文件。

　　5．Win NT 系统：

　　病毒将自身复制到 C 盘根目录下，名为 Regctrl.exe ，然后打开系统默认的浏览器登陆 disney.com 网站，同时执行 Regctrl.exe 文件。

　　6．随扩展名不同而不同的感染过程：

　　病毒在执行 Regctrl.exe 文件时会根据随机产生的文件扩展名不同而进行不同操作。

　　.COM 扩展名文件：病毒仅仅将 Regctrl.exe 文件复制到"回收站"目录中或 C 盘根目录下，然后删除原文件。

　　.EXE 扩展名文件：病毒通过注册表以及 .DBX 文件(Outlook 邮件数据文件)获取用户 SMTP 信息与邮件"地址簿"中的用户信息，并最后向所有获取的用户发送带毒邮件！

　　四．病毒的清除：

　　1．Win 9X 系统：

　　Win 9X 系统的病毒清除相对简单，只需重启系统，然后用最新的杀毒软件对系统进行扫描并清除所有 Myparty 蠕虫病毒文件就行了。

　　2．Win NT 系统：

　　首先打开任务管理器并打开"进程(Processes)"面板，找到 "msstask.exe" 进程，选中它然后点按"中止进程(End Process)"按钮以中止病毒的运行。

　　注意：是 Msstask.exe ，不是 Mstask.exe 哟。

　　现在找到 Msstask.exe 文件(应该在系统的 user profile Start MenuProgramsStartup folder 中)并删除它。