|
MyLife.M, gusano de propagación masiva vía Correo borra archivos del
sistema y de las unidades D:, E: y F:
|
|
©
Jorge Machado Lima-Perú
|
|
W32/MyLife.M@mm, I-worm.MyLife.M@mm
 |
|
MyLife.M es
un gusano sumamente destructivo reportado el 08 de Julio del 2003, variante de la familia MyLife,
de
propagación
masiva a
través de mensajes de correo en uno de dos formatos elegidos en forma
aleatoria, con archivos anexados
de doble extensión Mpeg_.scr.
Una vez ejecutado en un sistema
infectado, a la hora y 50 minutos o más, procede a borrar todos los archivos de las
carpetas %System%, %Windir%\*.sys
y los de las
unidades D:\, E:\ y
F:\
|
Haciendo uso de las funciones de las librerías MAPI
(Messaging
Application Programming Interface)
se auto-envía a todos los buzones de correo de la Libreta de Direcciones de
MS Outlook.
Es un PE
(Portable
Ejecutable) e infecta Windows
95/98/NT/Me/2000/XP,
incluyendo los servidores NT/2000/Server
2003, está desarrollado en Visual Basic
6.0 y requiere que la librería MSVBVM60.DLL se encuentre
instalada en los sistemas que infecte.
Tiene una extensión de 8 KB y está comprimido
con el utilitario UPX (Ultimate Packer for eXecutables):
http://upx.sourceforge.net
Los mensajes de correo pueden tener uno de los dos siguientes formatos:
Formato 1
Asunto: Old Shakira
Contenido: Hi
i saw this good ASS,, i sleep 3 hours ;-)
check Shakira ass soory Shakira movi :)
========No virus detected========
MCAFEE.COM
Anexado: Shakira_1997_part_1_.Mpeg_.scr
Formato 2
Asunto: Fw: Julia Roberts
Contenido: Hi
How are you?
Lexy and Mystique, a couple of 18 yr old bi gothic chicks, came over and had some fun in our shower. This scene looks even better on video, check em out at gotgiclex.com
========No virus detected========
MCAFEE.COM
Anexado: Julia_Roberts_*******_toilet.Mpeg_.scr
Al ejecutar el archivo anexado, el gusano se
auto-copia al directorio raíz como C:\mylife.mpg
y a la carpeta %System% con los siguientes
nombres:
- Shakira_1997_part_1_.Mpeg_.scr
- Julia_Roberts_*******_toilet.Mpeg_.scr
Para ejecutarse la
próxima vez que se re-inicie el sistema modifica la llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Win32" =
"%System%\Shakira_1997_part_1_.Mpeg_.scr"
Asimismo libera un
archivo de "0" bytes, con el nombre de MyLife.mpg que invita al
usuario a abrirlo y grabarlo en el disco.
%System% es la
variable C:\Windows\System para Windows
95/98/Me, C:\Winnt\System32 para Windows
NT/2000 y C:\Windows\System32 para Windows
XP y Windows Server 2003.
Al activarse el gusano procede
a ejecutar su rutina de auto-envío masivo de mensajes de correo.
Al ejecutarse en la carpeta %System%
transcurrida una hora y 50 minutos o más, procede a borrar los archivos de %System%,
%Windir%\*.sys y todos los
de las unidades
D:\, E:\ y
F:\:
-
%System%\*.*
- %Windir%\*.sys
-
D:\*.*
-
E:\*.*
-
F:\*.*
%Windir%
es una variable que corresponde a C:\Windows
en Windows 95/98/Me/XP/Server 2003 y C:\Winnt
en Windows NT\2000.
Sus payloads
son los siguientes:
- Se propaga masivamente en mensajes de
correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
- A la hora y 50 minutos o más procede a
borrar todos los archivos de %System%, %Windir%\*.sys
- Asimismo borra todos los archivos de las
unidades D:\, E:\ y F:\
- El sistema quedará truncado y
será necesario re-instalar el sistema operativo.
PER ANTIVIRUS®
versión 8.1 con registro de virus al 08 de Julio del 2003 detecta y elimina
eficientemente este gusano, así como todas las
variantes de MyLife*.*.
