Win32/MyPower.B@MM, MyPower.B@MM, Win32/MyPower.A@MM, MyPower.A@MM, 

MyPower.B, es un gusano reportado el 27 de Junio del 2002, variante de MyPower.A, que se propaga masivamente por medio de mensajes de correo que contienen Asuntos, Archivos anexados, con una extensión de 28 KB (que puede variar) y Contenidos elegidos aleatoriamente, auto-enviándose a todos los buzones de la Libreta de Direcciones de Windows (WAB).

MyPower.A está programado en Visual Basic y es un PE (Portable Ejecutable) que infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000. Está comprimido con el PEPak.

http://arctest.narod.ru/self/pepack.htm

MyPower.B está programado en Visual C++ y es un PE (Portable Ejecutable) que infecta los sistemas Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

La diferencia substancial entre ambos gusanos consiste en que MyPower.A contiene archivos anexados aleatorios con extensión .ZIP.scr y .scr, en cambio MyPower.B tiene archivos anexados con extensión .EXE 

Remitente:

Usa cualquier nombre obtenido del sistema infectado. 

Asunto:  

Es elegido en forma aleatoria conformando frases de la siguiente lista:

• news
• Patch for
• Crack For
• The best
• microsoft
• Borland
• ZDnet
• Tucows
• Windows
• Program
• Animated
• Protection
• Saver
• Fixed
• Saving
• Games
• 3DFx Studio

El archivo anexado de MyPower.B es elegido en forma aleatoria entre uno de los siguientes:

El cuerpo del mensaje es elegido de cualquiera de estos 7 textos::

• Hey this is the program you been ask for, save it to disk and run this program, give me feed back ASAP OK...!
  
• Dear Customer
  Thanks for your attentions to our programs, we glad you like it this is the other program you been asking about, save it to Disk and run it
  
• Hi..friends.., check out this screen saver, it's very cute.. ;) just save to disk  or run it from your current location..!
  
• This file is needed by your antivirus program, save it to your disk, and run this patch your Antivirus security Patch will be updated soon..!
  
• Dear Visitor,
  Thanks for submiting to our site, this is the file you ask for..:) after you run this program you can access our site with no Password required..!
  
• To : Microsoft Windows User
  
• Dear Users, after we analize the problems you have been asking,with this file you can fix the problem in your MS-Windows, save this file to disk, and extract it in current Folder, and you will be prompt for installation folder.., and follow program instructions. 

Ejemplo de mensaje:

Al ejecutar el archivo infectado, se muestra en pantalla la siguiente caja de diálogo:

Al hacer clic en el botón "Abort" el gusano se auto-copia a las siguientes rutas: 

• A:\Setup.exe
• %Sysdir\I386.exe%Sysdir\3DFX.scr
• %Sysdir\Setup98_Microsoft_patch120679.exe%
• Sysdir\Borland_Install32_Beta080279.exe%
• Sysdir\Install32_Beta12061979_Fixed.exe%Sysdir\Install_Wizard.exe%
• Sysdir\3DFxText_FULL281058_DEMO.exe%
• Sysdir\Fx3d_FULL_291182_DEMO.exe%
• Sysdir\Nude_Patch_10110001_BETA.exe%
• Sysdir\Animations_PATCH_SETUP.scr
• C:\My Documents\Setup98_Microsoft_patch120679.exe
• C:\My Documents\Borland_Install32_Beta080279.exe
• C:\My Documents\Install32_Beta12061979_Fixed.exe
• C:\My Documents\Install_Wizard.exe
• C:\My Documents\3DFxText_FULL281058_DEMO.exe
• C:\My Documents\Fx3d_FULL_291182_DEMO.exe
• C:\My Documents\Nude_Patch_10110001_BETA.exe
• C:\My Documents\Animations_PATCH_SETUP.scr

%System% es una variable a la cual se auto-copia el gusano y que por defecto es C:\Windows\System o C:\Winnt\System32.

Para ejecutarse la próxima vez que se inicie el sistema MyPower.B agrega el valor:

I386 C:\%System%\I386.exe

a la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

Después que el gusano se auto-envía masivamente, agrega la siguiente sección en el archivo:

C:\Windows\Win.ini:

[EMAIL]
MAILED=TRUE
WORM NAME= I-Worm.Iwing
MY STATUS= IS HERE..!
MY LINKS= http://www.indovirus.net

Inmediatamente después borra los siguientes archivos previamente creados:

Dentro de su código viral, no visible para el usuario, se puede leer:

I'm The Power..!
iwing@softhome.net - shadow_chaser@telkom.net
Greetingz to Bcvg, Ikx, virusindo, 29A, Coderz, and all Virus Writer I-WORM.Iwing (C) by. INDOVIRUS Writen By. Iwing

Se puede presumir que el autor de ambos gusanos, es un miembro que alterna en varias comunidades de creadores de virus entre ellas Coderz y 29A, cuyos portales actualmente se hayan clausurados. 

MyPower.B no tiene un payload destructivo, pero su alto grado de propagación puede saturar servidores de Correo y LAN, pudiendo ocasionar una negación de Servicio DoS (Denial of Service). 

MyPower.A tiene un payload destructivo, que borra archivos de las carpetas de Windows y Mis Documentos, con las siguientes extensiones:

• C:\My Documents\*.DOC
• C:\My Documents\*.XLS
• %WINDOWS%\*.INI
• %WINDOWS%\*.DRV
• %WINDOWS%\*.*
• %SYSTEM%\*.*

PER ANTIVIRUS® versión 7.5 con registro de virus al 27 de Junio del 2002 detecta y elimina eficientemente este gusano y sus variantes.