Llega en mensajes con el asunto «bill caricature» adjunto en un archivo
con el nombre «cari.scr». Si el usuario abre el adjunto podrá visualizar
una caricatura de Bill Clinton tocando el saxofón, mientras tanto el
gusano se habrá instalado en el sistema para ejecutarse cada vez que
se inicie Windows e intentará borrar las unidades C: D: E: y F:
dependiendo de la hora del sistema.
MyLife.B está escrito en Visual Basic 6, tiene un tamaño de 41,984
bytes, si bien se presenta como adjunto con sólo 11,524 bytes, ya
que ha sido comprimido bajo el formato UPX. Utiliza Microsoft Outlook
para distribuirse a todos los contactos de su libreta de direcciones
del sistema infectado y muestra el siguiente mensaje como modelo
fijo:
Asunto:
bill caricature
Cuerpo del mensaje:
Hiiiii
How are youuuuuuuu?
look to bill caricature it’s vvvery verrrry ffffunny 🙂 🙂
i promise you will love it? ok
buy
========No Viruse Found========
MCAFEE.COM
– ——————————————————–
Archivo adjunto:
Cari.scr
Una vez ejecutado, el gusano muestra la caricatura y se copia en la
carpeta de sistema de Windows, a continuación agrega una entrada en el
registro de Windows para asegurarse su ejecución cada vez que se inicie
el sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
win = C:\WINDOWS\System\cari.scr
(C:\WinNT\System32 en el caso de Windows NT/2000)
Si la ejecución del gusano sucede entre las 8:00 y 8:59 AM, según la
hora del sistema infectado, MyLife.B intenta borrar los siguientes
archivos:
C:\*.*
*.sys
*.vxd
*.ocx
*.nls
d:\*.*
e:\*.*
f:\*.*
bernardo@hispasec.com
Más información:
Win32.MyLife.B@mm – BitDefender
http://www.bitdefender.com/virusi/virusi_descrieri.php?virus_id=61
Win32.MyLife.B – CAi
http://www3.ca.com/Press/PressRelease.asp?id=1951
W32/MyLife.b@MM – NAi
http://vil.nai.com/vil/content/v_99414.htm
I-Worm.Mylife.b – Kaspersky
http://www.avp.ch/avpve/worms/email/mylife-b.stm
W32/MyLife.B – Norman
http://www.norman.com/virus_info/w32_mylife_b_mm.shtml
W32/MyLife.B – Panda Software
http://service.pandasoftware.es/enciclopedia/ficha.jsp?Virus=W32/MyLife.B
Win32/MyLife.B – Proland
http://www.protectorplus.com/virus_info/worms/mylifeb.htm
W32/MyLife.B@mm – Sybari
http://www.sybari.com/alerts/alertdetail.asp?Name=W32/MyLife.B@mm
W32.MyLife.B@mm – Symantec
http://www.sarc.com/avcenter/venc/data/w32.mylife.b@mm.html
WORM_MYLIFE.B – Trend Micro
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYLIFE.B
Deja una respuesta