lunes, 25 de marzo de 2002

Gusano MyLife.B, bajo una caricatura de Bill Clinton

Llega en mensajes con el asunto "bill caricature" adjunto en un archivo
con el nombre "cari.scr". Si el usuario abre el adjunto podrá visualizar
una caricatura de Bill Clinton tocando el saxofón, mientras tanto el
gusano se habrá instalado en el sistema para ejecutarse cada vez que
se inicie Windows e intentará borrar las unidades C: D: E: y F:
dependiendo de la hora del sistema.
MyLife.B está escrito en Visual Basic 6, tiene un tamaño de 41,984
bytes, si bien se presenta como adjunto con sólo 11,524 bytes, ya
que ha sido comprimido bajo el formato UPX. Utiliza Microsoft Outlook
para distribuirse a todos los contactos de su libreta de direcciones
del sistema infectado y muestra el siguiente mensaje como modelo
fijo:

Asunto:
bill caricature

Cuerpo del mensaje:
Hiiiii
How are youuuuuuuu?
look to bill caricature it's vvvery verrrry ffffunny :-) :-)
i promise you will love it? ok
buy

========No Viruse Found========
MCAFEE.COM
- --------------------------------------------------------

Archivo adjunto:
Cari.scr

Una vez ejecutado, el gusano muestra la caricatura y se copia en la
carpeta de sistema de Windows, a continuación agrega una entrada en el
registro de Windows para asegurarse su ejecución cada vez que se inicie
el sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
win = C:\WINDOWS\System\cari.scr

(C:\WinNT\System32 en el caso de Windows NT/2000)

Si la ejecución del gusano sucede entre las 8:00 y 8:59 AM, según la
hora del sistema infectado, MyLife.B intenta borrar los siguientes
archivos:

C:\*.*
*.sys
*.vxd
*.ocx
*.nls
d:\*.*
e:\*.*
f:\*.*



Bernardo Quintero
bernardo@hispasec.com


Más información:

Win32.MyLife.B@mm - BitDefender
http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=61

Win32.MyLife.B - CAi
http://www3.ca.com/Press/PressRelease.asp?id=1951

W32/MyLife.b@MM - NAi
http://vil.nai.com/vil/content/v_99414.htm

I-Worm.Mylife.b - Kaspersky
http://www.avp.ch/avpve/worms/email/mylife-b.stm

W32/MyLife.B - Norman
http://www.norman.com/virus_info/w32_mylife_b_mm.shtml

W32/MyLife.B - Panda Software
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/MyLife.B

Win32/MyLife.B - Proland
http://www.protectorplus.com/virus_info/worms/mylifeb.htm

W32/MyLife.B@mm - Sybari
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/MyLife.B@mm

W32.MyLife.B@mm - Symantec
http://www.sarc.com/avcenter/venc/data/w32.mylife.b@mm.html

WORM_MYLIFE.B - Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYLIFE.B



No hay comentarios:

Publicar un comentario