Win32.MyLife.C@mm

04 04. 2002, 16:48
Alias: - Tip: Mass mailer executabil Marime: 7680 bytes (~ 41 KB decomprimat) Descoperit: 2 aprilie 2002 Detectat: 2 aprilie 2002, 15:00 (GMT+2) Raspandire: Redusa Risc: Ridicat ITW: Necunoscut Simptome: Fisierul "List.TXT.scr" din directorul Windows System; Intrarea "sys" in cheia

Alias:
Tip: Mass mailer executabil
Marime: 7680 bytes (~ 41 KB decomprimat)
Descoperit: 2 aprilie 2002
Detectat: 2 aprilie 2002, 15:00 (GMT+2)
Raspandire: Redusa
Risc: Ridicat
ITW: Necunoscut

Simptome:

  • Fisierul „List.TXT.scr” din directorul Windows System;
  • Intrarea „sys” in cheia din registrii HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run; valoarea acestei intrari se refera la fiserul mentionat mai sus.

Descriere tehnica:
Virusul este o alta versiune de Win32.MyLife.A@mm: un mass-mailer care foloseste Microsoft Outlook pentru a se trimite contactelor utilizatorului. A fost scris in Visual Basic si executabilul este comprimat folosind un pachet executabil UPX.
Virusul ajunge ca atasament la un mesaj de e-mail avand formatul urmator:

Subject: The List Body: Hiiiii How are youuuuuuuu? Here is that Notepad you asked for … don’t show anyone else 😉 Notepad = list
list = 137
buyyyy

========No Viruse Found========
MCAFEE.COM
–––––––––––––––––––
Attachement:
„List.TXT.scr” (size: ~ 8 KB)

Extensia numelui atasamentului este (ca si mai inainte) aleasa astfel incat utilizatorul sa creada ca este vorba despre un screen saver pentru Windows. Cand ruleaza, virusul, afiseaza initial o casuta de dialog cu un mesaj de „eroare”:

Ulterior, virusul va lasa o copie a acestuia in directorul Windows System care va fi prevazuta sa ruleze de fiecare data cand utilizatorul „infectat” se logheaza in Windows. Virusul va trimite copii ale virusului tuturor contactelor utilizatorului din Address Book si din lista contactelor MSN Messenger, in formatul descris mai sus, prin crearea de mesaje de e-mail.

Ca si payload, virusul incearca (in anumite conditii, cum ar fi o anumita zi si ora) sa formateze anumite partitii ale hard-disk-ului (D:, E:, F:, G:, H:, I:) si sa stearga toate directoarele din C: partitii ale hard-disk-ului; daca rezultatul acestei actiuni este pozitiv atunci acesta va duce la pierderea aproape in intregime a datelor de pe hard-disk-ul utilizatorului. In timp ce sterge datele, virusul va afisa, de asemenea, mesajul „LoOoOoL”.

Dezinfectie manuala:

  • Indepartati (folosind serviciul REGEDIT inclus in Windows) intrarea descrisa mai sus (in sectiunea „Simptome”) in cheia din registrii HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run;
  • Stergeti body-ul virusului (fisierul „List.TXT.scr” din directorul Windows System); s-ar putea sa fiti nevoiti sa restartati Windows-ul dupa indepartarea intrarii din registrii si inainte sa incercati sa stergeti acest fisier.

Dezinfectie automata:
Lasati BitDefender sa stearga/sa dezinfecteze fisierele gasite infectate.

Analizat de:
Bogdan Dragu
BitDefender Virus Researcher