VSantivirus No. 635 - Año 6 - Miércoles 3 de abril de 2002
W32/MyLife.F. SEXXXYYY SCREEN SAVER, LIST480.TXT.SCR
http://www.vsantivirus.com/mylife-f.htm
Nombre: W32/MyLife.F
Tipo: Gusano de Internet
Alias: Worm/MyLife.F
Fecha: 1/abr/02
Plataforma: Windows 32-bit
Tamaño: 8 Kb aprox. (25 Kb descomprimido)
W32/MyLife.F es una ligera modificación de los MyLife anteriores.
Escrito en Visual Basic 6, este gusano se propaga a través de la lista de contactos del Outlook y del MSN Messenger.
El mensaje utilizado tiene estas características:
Asunto: sexxxyyy Screen Saver
Texto del mensaje:
Hiiiii
How are youuuuuuuu?
look to the notepad it's vvvery verrrry ffffunny :-) :-)
i promise you will love it :-)
Notepad = list
list = 37
buyyyy
========No Viruse Found========
MCAFEE.COM
-------------------------------
Datos adjuntos: List480.TXT.scr
El icono del adjunto es el clásico de los archivos de texto, un bloc de notas.
Si el usuario ejecuta este adjunto, se muestra una ventana de mensajes con el siguiente texto:
Error
Error Notepad.dll ##
[ OK ]
Mientras tanto, el gusano se copia en la carpeta
\windows\system:
C:\Windows\System\List480.TXT.scr
Para ejecutarse en próximos reinicios de Windows, el gusano crea la siguiente entrada en el registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
sys = C:\Windows\System\List480.TXT.scr
Para activar su rutina maliciosa, el gusano examina los datos de la fecha y la hora, y si el minuto actual (en el momento de ejecutarse), es 50 o superior a 50 procede a formatear las unidades de disco
D:, E:, F:, G:, H:, e I:. También borra todos los archivos y directorios de la unidad
C:\
Luego, el gusano muestra esta ventana de mensajes:
LoOoOoL
My Life.C
[ OK ]
Cómo eliminar manualmente el gusano
Para borrar manualmente el gusano, siga estos pasos:
1. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que coincida con lo siguiente:
"sys", "C:\Windows\System\List480.TXT.scr" y pulse la tecla SUPR o DEL.
Conteste afirmativamente la pregunta de si desea borrar la clave
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
6. Borre los mensajes recibidos con las condiciones mencionadas (Asunto:
sexxxyyy Screen Saver, Datos adjuntos: List480.TXT.scr)
7. Ejecute uno o más antivirus actualizados para revisar su sistema.
Notas
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
Relacionados:
VSantivirus No. 609 - 8/mar/02
W32/MyLife. En el primer reinicio borra archivos críticos
http://www.vsantivirus.com/mylife.htm
VSantivirus No. 623 - 22/mar/02
W32/MyLife.B. Asunto: BILL CARICATURE, adjunto: CARI.SCR
http://www.vsantivirus.com/mylife-b.htm
VSantivirus No. 633 - 1/abr/02
W32/MyLife.C Asunto: THE LIST, se propaga y borra todo
http://www.vsantivirus.com/mylife-c.htm
VSantivirus No. 634 - 2/abr/02
W32/MyLife.D. Asunto NEW SCREEN SAVER, adjunto SCREEN.SCR
http://www.vsantivirus.com/mylife-d.htm
VSantivirus No. 635 - 3/abr/02
W32/MyLife.E. Asunto SEXXXYYY SCREEN SAVER, SCREEN.SCR
http://www.vsantivirus.com/mylife-e.htm
VSantivirus No. 635 - 3/abr/02
W32/MyLife.F. SEXXXYYY SCREEN SAVER, LIST480.TXT.SCR
http://www.vsantivirus.com/mylife-f.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
