Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

El W32/MyLife falla al intentar borrar archivos
 
VSantivirus No. 612 - Año 6 - Lunes 11 de marzo de 2002

 El W32/MyLife falla al intentar borrar archivos

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

El W32/MyLife es un gusano que está circulando por Internet, y que se enmascara como una fotografía de una niña sosteniendo una flor (puede ver la descripción completa en nuestro sitio, con fotos incluidas).

El gusano se ejecuta, mostrando la imagen de una niña sosteniendo una flor

Escrito en Visual Basic el gusano intenta borrar archivos críticos de Windows, así como enviarse a todos los contactos de la libreta de direcciones de la víctima.

El mensaje tiene como asunto: "my life ohhhhhhhhhhhhh", y como datos adjuntos el archivo "MY LIFE.SCR" (el código del virus).

Su peligro está en el intento de borrado de archivos ejecutables, vitales para el funcionamiento del sistema, luego del primer reinicio que ocurre inmediatamente después de la infección.

Sin embargo, ciertas pruebas realizadas, confirmadas por algunos de los propios laboratorios de antivirus, dan como resultado que debido a errores en el código del gusano esta rutina maliciosa falla, razón por la cuál no han sido reportados casos de archivos borrados hasta la fecha.

En cambio la rutina de propagación sí funciona, por lo que se recomienda mantener al día sus antivirus, y por supuesto no abrir adjuntos de mensajes no solicitados, sin importar quien los envía.

VSantivirus No. 609 - Año 6 - Viernes 8 de marzo de 2002

 W32/MyLife. En el primer reinicio borra archivos críticos
http://www.vsantivirus.com/mylife.htm

Nombre: W32/MyLife
Tipo: Gusano de Internet
Alias: Worm_Mylife.A, Mylife, W32/MyLife@mm, Worm/MyLife, I-Worm.Mylife
Fecha: 7/mar/02
Tamaño: 30,720 bytes
Plataforma: Windows 32-bit
Estado: reportado en la calle
Fuente: McAfee, F-secure, Trend Micro, Norton

Básicamente es un simple gusano capaz de enviarse masivamente a través del correo electrónico, a todos los contactos de la libreta de direcciones del Outlook.

El gusano ha sido escrito en Visual Basic, y su ejecutable (un archivo en formato PE, Portable Executable), ha sido comprimido con la herramienta UPX.

Cuando se ejecuta el gusano intenta borrar archivos con las extensiones .com, .sys, .ini, .exe, .sys, .vxd, .exe, o .dll.

Puede llegarnos en la forma de un mensaje similar a este:

Asunto: my life ohhhhhhhhhhhhh 

Texto:
Hiiiii 
How are youuuuuuuu?
look to the digital picture it's my love
vvvery verrrry ffffunny :-)
my life = my car
my car = my house

Datos adjuntos: MY LIFE.SCR

Si el usuario abre el supuesto archivo salvador de pantallas (SCR), el gusano se ejecuta, mostrando la imagen de una niña sosteniendo una flor

El gusano se ejecuta, mostrando la imagen de una niña sosteniendo una flor

El gusano queda residente en memoria, visible en la lista de tareas (al pulsar CTRL+ALT+SUPR) como "My Life".

Luego, se copia a si mismo al directorio System de Windows con el mismo nombre del adjunto:

C:\Windows\System\My Life.scr (Windows 9x)
C:\WinNT\System32\My Life.scr (Windows NT/2K)

Luego, se agrega al registro para garantizar su ejecución automática en cada reinicio de Windows:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
stmgr = C:\Windows\System\My Life.scr

Para propagarse, el gusano intenta enviarse en un mensaje exactamente igual al que arribó a nuestra computadora, a todos los contactos de la libreta del Outlook, acción que solo ocurre la primera vez, porque al reiniciar el sistema, el gusano no intenta propagarse nuevamente, ni tampoco muestra de nuevo la imagen de la chica con la flor. En cambio, intenta borrar los siguientes archivos críticos de la máquina infectada:

C:\*.COM
C:\*.SYS
C:\WINDOWS\*.COM
C:\WINDOWS\*.SYS
C:\WINDOWS\*.INI
C:\WINDOWS\*.EXE
C:\WINDOWS\SYSTEM\*.SYS
C:\WINDOWS\SYSTEM\*.VXD
C:\WINDOWS\SYSTEM\*.EXE
C:\WINDOWS\SYSTEM\*.DLL

Si ello ocurre, el comportamiento de Windows será errático, y posiblemente cause su cuelgue. Un reinicio del sistema será imposible sin la reinstalación de Windows.

Cómo esta acción ocurre en el siguiente reinicio del sistema, luego de haberse mostrado la imagen mencionada antes, es importante que en caso de ver esa imagen en otro momento, no reiniciar el sistema hasta proceder a la limpieza manual como mencionamos a continuación.

Cómo borrar manualmente el gusano

Para borrar manualmente el gusano, siga estos pasos:

1. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que coincida con lo siguiente: "stmgr" y "C:\Windows\System\My Life.scr" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

6. Borre los mensajes recibidos con las condiciones mencionadas (Asunto: "my life ohhhhhhhhhhhhh", Adjuntos: "MY LIFE.SCR"))

7. Ejecute uno o más antivirus actualizados para revisar su sistema.


Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Modificaciones

11/mar/02 - El W32/MyLife falla al intentar borrar archivos


Relacionados:

VSantivirus No. 609 - 8/mar/02
W32/MyLife. En el primer reinicio borra archivos críticos
http://www.vsantivirus.com/mylife.htm

VSantivirus No. 623 - 22/mar/02
W32/MyLife.B. Asunto: BILL CARICATURE, adjunto: CARI.SCR
http://www.vsantivirus.com/mylife-b.htm

VSantivirus No. 633 - 1/abr/02
W32/MyLife.C Asunto: THE LIST, se propaga y borra todo
http://www.vsantivirus.com/mylife-c.htm

VSantivirus No. 634 - 2/abr/02
W32/MyLife.D. Asunto NEW SCREEN SAVER, adjunto SCREEN.SCR
http://www.vsantivirus.com/mylife-d.htm

VSantivirus No. 635 - 3/abr/02
W32/MyLife.E. Asunto SEXXXYYY SCREEN SAVER, SCREEN.SCR
http://www.vsantivirus.com/mylife-e.htm

VSantivirus No. 635 - 3/abr/02
W32/MyLife.F. SEXXXYYY SCREEN SAVER, LIST480.TXT.SCR
http://www.vsantivirus.com/mylife-f.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS