w32/MyLife@MM


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Las noticias que enviamos los pasados días 14/03/2002 y 26/03/2002 hacían referencia al virus
w32/MyLife@MM y a su variante w32/MyLife.b@MM, respectivamente. En la lista de
hoy presentamos un resumen de las variantes conocidas hasta la fecha y sus payloads
conocidos:

Variantes

Payloads conocidos

w32/MyLife.a@MM

Asunto: my life ohhhhhhhhhhhhh

Adjunto: MY LIFE.SCR

Control desde DATS 4190 / Motor 4070

Al reiniciar el ordenador intenta borrar los siguientes ficheros:

*.COM y *.SYS de C:\
*.COM, *.SYS, *.INI y *.EXE de C:\WINDOWS
*.SYS, *.VXD, *.EXE y *.DLL de :\WINDOWS\SYSTEM

w32/MyLife.b@MM

Asunto: bill caricature

Adjunto: cari.scr

Control desde DATS 4193 / Motor 4070

Cuando se ejecuta el gusano desde el directorio SYSTEM y la hora es 8am, borra los siguientes ficheros:

*.* de C:\ D:\ E:\ and F:\
*.SYS, *.VXD, *.OCX y *.NLS de C:\WINDOWS\SYSTEM

w32/MyLife.c@MM

Asunto: The List

Adjunto: LIST.TXT.scr

Control desde DATS 4195 / Motor 4070

Si el gusano se ejecuta cuando los minutos de la hora son superiores a 50, se visualiza una caja de mensaje e intenta borrar todos los ficheros de la unidad C: y formatear las unidades C, E, F, G, H, e I. (Este payload no funciona en sistemas WinNT/2K/XP)

w32/MyLife.d@MM

Asunto: New Screen Saver

Adjunto: Screen.scr

Control desde DATS 4195 / Motor 4150

La segunda vez que se ejecuta el gusano, se borran los siguiente ficheros (Este payload no funciona en sistemas WinNT/2K/XP):

C:\*.*
Todos los ficheros *.sys, and *.vxd de los directorios WINDOWS y WINDOWS SYSTEM.

El gusano también envía un mensaje con la siguiente información:

To: zary2000@email.com
Subject: New Screen Saver
Body: New NeverHood buy

w32/MyLife.e@MM

Asunto: sexxxyyy Screen Saver

Adjunto: Screen.scr

Control desde DATS 4195 / Motor 4150

La segunda vez que se ejecuta, intenta borrar los siguientes ficheros:

C:\*.*
D:\*.*
E:\*.*
F:\*.*
G:\*.*
C:\My Documents\*.*
Todos los ficheros *.sys, *.exe, y *.ini del directorio WINDOWS
Todos los ficheros *.sys, y *.vxd del directorio SYSTEM.

El gusano también envía un mensaje con la siguiente información:

To: zary2000@email.com
Subject: New Screen Saver
Body: New NeverHood buy

w32/MyLife.f@MM

Asunto: the list

Adjunto: List480.TXT.scr

Control desde DATS 4195 / Motor 4150

Si el gusano se ejecuta cuando los minutos de la hora son superiores a 50, se visualiza una caja de diálogo e intenta borrar todos los ficheros de la unidad C: y formatear las unidades C, E, F, G, H, e I. (Este payload no funciona en sistemas WinNT/2K/XP)

w32/MyLife.g@MM

Asunto: ox <--> sharon

Adjunto: ox&Wife.scr

Control desde DATS 4196 / Motor 4150

La primera vez que se ejecuta el gusano desde el directorio SYSTEM, sobreescribirá los ficheros que tengan las siguientes extensiones con el texto my lIfE: asp, avi, dbx, doc, frm, gif, htm,html , jpeg, js, mdb, mp2, mp3, mpeg, mpg, pdf, php, pps, ppt, ram, rar, rm, rtf, txt, vbs, wav, xls,zip

La segunda vez que se ejecuta desde el directorio SYSTEM, visualiza una caja de mensaje e intenta borrar todos los ficheros de las unidades C, D, E, F, G, H, e I. (Este payload no funciona en sistemas WinNT/2K/XP)

w32/MyLife.h@MM

Asunto: peeeeeep

Adjunto: peeeeeep.mpeg.scr

Control desde DATS 4196 / Motor 4150

No contiene ningún payload destructivo.

w32/MyLife.i@MM

Asunto: peeeeep picture

Adjunto: peeeep~~~.scr

Control desde DATS 4197 o DailyDAT actual / Motor 4150

Cuando se ejecuta el fichero ox&Wife.scr desde el directorio SYSTEM, el virus intenta sobreescribir todos los ficheros con un espacio.

w32/MyLife.j@MM

Asunto: sexyy Screen Saver

Adjunto: USA.scr

Control desde DATS 4197 o DailyDAT actual / Motor 4150

El gusano contiene un payload que borra todos los ficheros de la unidad C:. Este payload no funciona en sistemas WinNT/2K/XP.

SATINFO, VIRUSCAN SPAIN SERVICE 17 de Abril de 2002