MyLife.G

MyLife.g, de propagación masiva. Borra archivos de las unidades C:, D:, E:, F:, G: e I:

I-worm.MyLife.g, W32/MyLife.g@MM

MyLife.G es un gusano reportado el 11 de Abril del 2002, variante de MyLife.F, de difusión masiva vía correo electrónico en un mensaje con un archivo anexado de nombre ox&Wife.scr. Es sumamente destructivo ya que borra todas las unidades del disco duro.

Hola Todos, mira a la caricatura del buey es muy triste ox <===>sharon es divertida:-) Anexados son automáticamente rastreados usando MCAFEE.COM ========No se hallaron Virus========

Este gusano al igual que su anterior versión es un PE (Portable Ejecutable) que infecta todos los sistemas operativos operativos Windows 95/98/NT/Me/2000, incluyendo los servidores NT/2000.

MyLife.G también ha sido desarrollado en lenguaje Visual Basic 6.0, tiene 13.5 KB de extensión y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface), una vez que un sistema es infectado, el gusano se auto-envía a todos los buzones de la libreta de direcciones de MS Outlook, en un mensaje de correo, así como a los contactos de MS .Net Messenger, con un efecto multiplicador.

http://messenger.msn.com

Esta acción la realiza manipulando las funciones de las librerías que provee el Microsoft Messenger, saturando servidores de correo, LAN, estaciones de trabajo y PC domésticas.

Si el usuario hace click sobre el archivo anexado el gusano muestra ésta imágen:

dEcImOs eS bUeY dIcEn lEcHe ==eSo==

Inmediatamente se auto-copiará a la carpeta C:\Windows\System\ox&Wife.scr y en NT lo hará a C:\Windows\System32\ox&Wife.scr.

Para asegurarse de ser ejecutado, la próxima vez que se inicie Windows, el gusano agrega la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"OX" = C:\WINDOWS\SYSTEM\ox&Wife.scr

Al re-iniciarse el sistema el gusano se ejecuta desde la carpeta C:\System y su primer payload se manifiesta sobre-escribiendo con la palabra lIfE las siguientes extensiones:

asp
avi
dbx
doc
frm
gif
htm
html
jpeg
js
mdb
mp2
mp3
mpeg
mpg
pdf
php
pps
ppt
ram
rar
rm
rtf
txt
vbs
wav
xls
zip

La segunda vez que se ejecute el gusano mostrará una caja de diálogo:

MaTeN a sHaRoN pOr: mIvIdA 1.sObReScRiBe 30 <===>eXtEnSiOn 2.bOrRa tOdAs lAsCaRpEtAs (C a I) 3.Lo00o00ol ==OK==

Inmediatamente después procederá a borrar todos los archivos de las unidades: C:, D, E, F, G, H e I.

>Del *.* C:\ D:\ E:\ F:\ G:\ H:\ I:\

PER ANTIVIRUS® versión 7.4 con registro de virus al 11 de Abril del 2002 detecta y elimina eficientemente este gusano, así como todas las variantes de MyLife*.*.