MyLife.f, de propagación masiva. Borra archivos de la unidad C: o formatea todo el disco.  

© Jorge Machado  Lima-Perú

I-worm.MyLife.f, W32/MyLife.f@MM 

MyLife.F es un gusano reportado el 03 de Abril del 2002, variante de MyLife.C, de difusión masiva vía correo electrónico con un mensaje anexado con doble extensión List480.txt.scr.

Holaaaaa
Cómo estás tuuuuuuuuu?
mira esta Libreta de Notas es mmmuy muyyyy ggggraciosa :-):-) 
te prometo que te gustará:-)
Notepad = list
List=37
buyyyy

========No se hallaran Virus========
MCAFEE.COM

Este gusano al igual que su anterior versión tiene un formato PE (Portable Ejecutable) que infecta todos los sistemas operativos operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000 y se copia a la carpeta del Sistema de Windows.

MyLife.F ha sido desarrollado en lenguaje Visual Basic 6.0, tiene 7.5 KB de extensión y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo, así como a los contactos de Microsoft Messenger, con un efecto multiplicador

También se envía a todos los contactos del servicio de mensajería instantánea .NET Messenger:

http://messenger.msn.com 

Esta acción la realiza manipulando las funciones de las librerías que provee el Microsoft Messenger, saturando servidores de correo, LAN, estaciones de trabajo y PC domésticas. 

Si el usuario hace click sobre el archivo anexado éste muestra ésta imágen: 

La pantalla sugiere al receptor del archivo infectado a hacer un click en "OK" y que es lo que la mayoría de usuarios hacemos cuando vemos cualquier pantalla que muestra un error, que en este caso es falso. Esta acción activará al gusano. 

Inmediatamente se auto-copiará a la carpeta C:\Windows\System\List480.TXT.scr  

Para asegurarse de ser ejecutado, la próxima vez que se inicie Windows, el gusano agrega la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
sys=C:\WINDOWS\SYSTEM\List480.TXT.scr

Al re-iniciarse el sistema el gusano ejecuta su payload que se manifiesta cuando la hora del sistema es mayor que o igual a 50 minutos, mostrando esta ventana:

Entonces procederá a borrar todos los archivos de la unidad C: y/o formatear las unidades: C:, E, F, G, H e I. 

Del *.* unidades C:\

Format: C:\ E:\ F:\ G:\ H:\ e I:\

PER ANTIVIRUS® versión 7.4 con registro de virus al 03 de Abril del 2002 detecta y elimina eficientemente este gusano, así como todas las variantes de MyLife*.*.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS