MyLife.c, de propagación masiva. Borra archivos de la unidad C: o formatea todo el disco.  

© Jorge Machado  Lima-Perú

W32/MyLife.c@MM 

MyLife.C es un gusano reportado el 31 de Marzo del 2002, variante de MyLife.B, de difusión masiva vía correo electrónico todos los buzones de la libreta de direcciones de MS Outlook y a los contactos del servicio de mensajería instantánea .NET Messenger:

http://messenger.msn.com 

Esta acción la realiza manipulando las funciones de las librerías que provee el Microsoft Messenger, saturando servidores de correo, LAN, estaciones de trabajo y PC domésticas. Se propaga a través de mensajes de correo electrónico con un mensaje anexado con doble extensión List.txt.scr, aunque la segunda, .scr no se visualiza.

Holaaaaa
Cómo estás tuuuuuuuuu?
Aquí está la Libreta de Notas que pediste ... no se la muestres a nadie más :-)
Notepad = list
List=137
buyyyy

========No se hallaran Virus========
MCAFEE.COM

Si el usuario hace click sobre el archivo anexado éste muestra ésta imágen: 

La pantalla sugiere al receptor del archivo infectado a hacer un click en "OK" y que es lo que la mayoría de usuarios hacemos cuando vemos cualquier pantalla que muestra un error, que en este caso es falso. Esta acción activará al gusano.  

Este gusano al igual que su anterior versión tiene un formato PE (Portable Ejecutable) que infecta todos los sistemas operativos operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000 y se copia a la carpeta del Sistema de Windows.

MyLife.C ha sido desarrollado en lenguaje Visual Basic 6.0, tiene 7.5 KB de extensión y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo, así como a los contactos de Microsoft Messenger, con un efecto multiplicador.

Para asegurarse de ser ejecutado, la próxima vez que se inicie Windows, el gusano agrega la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
sys=C:\WINDOWS\SYSTEM\LIST.TXT.scr

Cuando se re-inicia el sistema, el gusano no vuelve a auto-enviar mensajes de correo y tampoco muestra ninguna imágen en la pantalla. Sin embargo ejecuta su payload que consiste en borrar todos los archivos de la unidad C: y/o de formatear las unidades: C:, E, F, G, H e I. 

Del *.* unidades C:\

Format: C:\ E:\ F:\ G:\ H:\ e I:\

PER ANTIVIRUS® versión 7.4 con registro de virus al 01 de Abril del 2002 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS