Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

W32/MyLife.M@mm, I-worm.MyLife.M@mm

MyLife.M es un gusano sumamente destructivo reportado el 08 de Julio del 2003, variante de la familia MyLife, de propagación masiva a través de mensajes de correo en uno de dos formatos elegidos en forma aleatoria, con archivos anexados de doble extensión Mpeg_.scr.

Una vez ejecutado en un sistema infectado, a la hora y 50 minutos o más, procede a borrar todos los archivos de las carpetas %System%, %Windir%\*.sys y los de las unidades D:\, E:\ y F:\  

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual Basic 6.0 y requiere que la librería MSVBVM60.DLL se encuentre instalada en los sistemas que infecte.

Tiene una extensión de 8 KB y está comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Los mensajes de correo pueden tener uno de los dos siguientes formatos:

Formato 1
Asunto: Old Shakira
Contenido: Hi
i saw this good ASS,, i sleep 3 hours ;-) 
check Shakira ass soory Shakira movi :) 

========No virus detected======== 
MCAFEE.COM 
Anexado: Shakira_1997_part_1_.Mpeg_.scr

Formato 2
Asunto: Fw: Julia Roberts
Contenido: Hi
How are you? 
Lexy and Mystique, a couple of 18 yr old bi gothic chicks, came over and had some fun in our shower. This scene looks even better on video, check em out at gotgiclex.com 

========No virus detected======== 
MCAFEE.COM
Anexado: Julia_Roberts_*******_toilet.Mpeg_.scr

Al ejecutar el archivo anexado, el gusano se auto-copia al directorio raíz como C:\mylife.mpg y a la carpeta %System% con los siguientes nombres:

  • Shakira_1997_part_1_.Mpeg_.scr
  • Julia_Roberts_*******_toilet.Mpeg_.scr 

Para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"Win32" = "%System%\Shakira_1997_part_1_.Mpeg_.scr"

Asimismo libera un archivo de "0" bytes, con el nombre de MyLife.mpg que invita al usuario a abrirlo y grabarlo en el disco. 

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. 

Al activarse el gusano procede a ejecutar su rutina de auto-envío masivo de mensajes de correo.

Al ejecutarse en la carpeta %System% transcurrida una hora y 50 minutos o más, procede a borrar los archivos de %System%, %Windir%\*.sys y todos los de las unidades D:\, E:\ y F:\:

  • %System%\*.*
  • %Windir%\*.sys
  • D:\*.*
  • E:\*.*
  • F:\*.*

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Sus payloads son los siguientes:

  • Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de MS Outlook.
  • A la hora y 50 minutos o más procede a borrar todos los archivos de %System%, %Windir%\*.sys
  • Asimismo borra todos los archivos de las unidades D:\, E:\ y F:\
  • El sistema quedará truncado y será necesario re-instalar el sistema operativo.

Fuente: PER
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados