Prima pagină » News » Win32.MyLife.F@mm

Win32.MyLife.F@mm

Apropo.ro / 04.04.2002, 16:50
Win32.MyLife.F@mm
Alias: - Tip: Mass mailer executabil Marime: 7680 bytes (~ 41 KB decomprimat) Descoperit: 2 aprilie 2002 Detectat: 2 aprilie 2002, 15:00 (GMT+2) Raspandire: Redusa Risc: Ridicat ITW: Necunoscut Simptome: Fisierul ""List480.TXT.scr" din directorul Windows System; Intrarea "sys" in

Alias:
Tip: Mass mailer executabil
Marime: 7680 bytes (~ 41 KB decomprimat)
Descoperit: 2 aprilie 2002
Detectat: 2 aprilie 2002, 15:00 (GMT+2)
Raspandire: Redusa
Risc: Ridicat
ITW: Necunoscut

Simptome:

  • Fisierul „”List480.TXT.scr” din directorul Windows System;
  • Intrarea „sys” in cheia din registrii HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run; valoarea acestei intrari se refera la fiserul mentionat mai sus.

Descriere tehnica:
Aceasta versiune este similara cu versiunea Win32.MyLife.C@mm. Diferenta majora consta in numele fisierului virusului: List480.TXT.scr.
Virusul ajunge ca atasament la un mesaj de e-mail avand formatul urmator:

Subject: the list
Body: Hiiiii How are youuuuuuuu?
look to the notepad it’s vvvery verrrry ffffunny 🙂 🙂
i promise you will love it 🙂
Notepad = list
list = 37
buyyyy
========No Viruse Found========
MCAFEE.COM
–––––––––––––––––––
Attachement:
„List480.TXT.scr” (size: ~ 8 KB)

Extensia numelui atasamentului este (ca si mai inainte) cea normala pentru screen-saverele pentru Windows. Cand ruleaza, virusul, afiseaza initial o casuta de dialog cu un mesaj de „eroare”.

Ulterior, virusul va lasa o copie a acestuia in directorul Windows System care va fi prevazuta sa ruleze de fiecare data cand utilizatorul „infectat” se logheaza in Windows. Virusul va trimite copii ale virusului tuturor contactelor utilizatorului din Address Book si din lista contactelor MSN Messenger, in formatul descris mai sus, prin crearea de mesaje de e-mail.

Ca si payload, virusul incearca (in anumite conditii, cum ar fi o anumita zi si ora) sa formateze anumite partitii ale hard-disk-ului (D:, E:, F:, G:, H:, I:) si sa stearga toate directoarele din C: partitii ale hard-disk-ului. Daca rezultatul acestei actiuni este pozitiv atunci acesta va duce la pierderea aproape in intregime a datelor de pe hard-disk-ul utilizatorului.

Dezinfectie manuala:

  • Indepartati (folosind serviciul REGEDIT inclus in Windows) intrarea descrisa mai sus (in sectiunea „Simptome”) in cheia din registrii HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run;
  • Stergeti body-ul virusului (fisierul „List480.TXT.scr” din directorul Windows System); s-ar putea sa fiti nevoiti sa restartati Windows-ul dupa indepartarea intrarii din registrii si inainte sa incercati sa stergeti acest fisier.

Dezinfectie automata:
Lasati BitDefender sa stearga/sa dezinfecteze fisierele gasite infectate.

Analizat de:
Bogdan Dragu
BitDefender Virus Researcher