Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/MyLife.C Asunto: THE LIST, se propaga y borra todo
 
VSantivirus No. 633 - Año 6 - Lunes 1 de abril de 2002

W32/MyLife.C Asunto: THE LIST, se propaga y borra todo
http://www.vsantivirus.com/mylife-c.htm

Nombre: W32/MyLife.C
Tipo: Gusano de Internet
Alias: W32/MyLife.c@MM
Fecha: 31/mar/02
Plataforma: Windows 32-bit
Tamaño: 7,680 bytes
Fuente: NAI

Escrito en Visual Basic 6, esta variante del MyLife (MyLife.B es el de la caricatura de Bill Clinton), utiliza también el Microsoft Outlook para propagarse a si mismo, enviándose a toda la libreta de direcciones de Windows y a la lista de contactos del MSN Messenger, y lo que es más peligroso, puede borrar el contenido de todos los discos duros y además formatearlos.

Esta versión se propaga en un mensaje con estas características (bastante similar al del MyLife.B):

Asunto: The List

Texto del mensaje:

Hiiiii
How are youuuuuuuu?
Here is that Notepad you asked for...
don't show anyone else ;-)
Notepad = list
list = 137
buyyyy

========No Viruse Found========
           MCAFEE.COM
-------------------------------


Datos adjuntos: LIST.TXT.scr

Note la doble extensión (TXT.scr), siendo en realidad un ejecutable del tipo PE, Portable Executable, comprimido con la utilidad UPX.

Cuando dicho adjunto es abierto por el usuario, tal vez pensando se trata de un simple archivo de texto, el gusano se ejecuta, mostrándose la siguiente ventana de mensajes como señuelo:

Error
Error Notepad.dll ##
[    OK    ]

La idea es hacer creer al usuario que el archivo de texto no puede abrirse por un error del editor normalmente asociado a él (Notepad, el bloc de notas). En realidad, mientras se muestra el mensaje, el gusano, que es un ejecutable con extensión SCR (protector de pantalla), se habrá copiado a si mismo a la carpeta System de Windows (C:\Windows\System), y usará el Outlook para propagarse a todos los contactos de la libreta de direcciones y del MSN Messenger, en mensajes idénticos al recibido previamente.

Luego, la siguiente clave es agregada al registro de Windows para asegurar la ejecución del gusano en cada próximo reinicio de la computadora infectada.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
sys = C:\WINDOWS\SYSTEM\LIST.TXT.scr

Cuando la máquina se reinicia luego de la infección, el gusano no se vuelve a propagar, ni se muestra la ventana de mensajes con el falso "Error" vista antes.

En cambio, el gusano puede borrar todos los archivos de la unidad de disco duro C, y formatear las unidades C, E, F, G, H, e I.

Los síntomas de una infección, están en la presencia de un archivo LIST.TXT.scr de 7,680 bytes en la carpeta C:\Windows\System, y los mensajes infectados enviados en la carpeta de Elementos enviados del Outlook.

Cómo borrar manualmente el gusano

Para borrar manualmente el gusano, siga estos pasos:

1. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que coincida con lo siguiente: "sys" y "C:\WINDOWS\SYSTEM\LIST.TXT.scr" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

6. Borre los mensajes recibidos con las condiciones mencionadas (Asunto: The List, adjunto: LIST.TXT.scr)

7. Ejecute uno o más antivirus actualizados para revisar su sistema.

Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

VSantivirus No. 635 - 3/abr/02
MyLife.C y una heurística con problemas
http://www.vsantivirus.com/03-04-02.htm

VSantivirus No. 609 - 8/mar/02
W32/MyLife. En el primer reinicio borra archivos críticos
http://www.vsantivirus.com/mylife.htm

VSantivirus No. 623 - 22/mar/02
W32/MyLife.B. Asunto: BILL CARICATURE, adjunto: CARI.SCR
http://www.vsantivirus.com/mylife-b.htm

VSantivirus No. 633 - 1/abr/02
W32/MyLife.C Asunto: THE LIST, se propaga y borra todo
http://www.vsantivirus.com/mylife-c.htm

VSantivirus No. 634 - 2/abr/02
W32/MyLife.D. Asunto NEW SCREEN SAVER, adjunto SCREEN.SCR
http://www.vsantivirus.com/mylife-d.htm

VSantivirus No. 635 - 3/abr/02
W32/MyLife.E. Asunto SEXXXYYY SCREEN SAVER, SCREEN.SCR
http://www.vsantivirus.com/mylife-e.htm

VSantivirus No. 635 - 3/abr/02
W32/MyLife.F. SEXXXYYY SCREEN SAVER, LIST480.TXT.SCR
http://www.vsantivirus.com/mylife-f.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS