Real e Ilustre Colegio de Abogados de Zaragoza
 
W32/MyLife.F
 
 
  
Nombre: W32/MyLife.F
Alias:  
Categorías del virus: Gusano
¿Reparable?: No
Fecha de aparición: --/--/----
Nivel de Riesgo (0-5): 1
Nivel de Distribución (0-5): 1
Nivel de Daños (0-5): 1
  
  
Descripción breve: 

          W32/Mylife.F es un gusano programado en Visual Basic 6 que se propaga por correo electrónico. Al margen de su capacidad para enviarse por correo este gusano puede realizar acciones realmente destructivas. En concreto, está preparado para formatear las unidades D, E, F, G, H e I de los ordenadores afectados. Por otra parte, también puede borrar todos los ficheros de la unidad C: que no se encuentren en uso.

          Este gusano es una variante del gusano W32/Mylife.C ya detectado por Panda Antivirus.  Se encuentra comprimido con UPX 1.20 y su tamaño sin descomprimir es de 7680 Bytes. Una vez descomprimido su tamaño alcanza los 20480 Bytes.
  
  
Modo de propagación: 
  
          Este gusano se envía a través del correo electrónico mediante un mensaje que presenta las siguientes características:

          Asunto: the list

          Cuerpo del mensaje:
                    Hiiiii
                    How are youuuuuuuu?
                    look to the notepad it's vvvery verrrry ffffunny :-) :-)
                    i promise you will love it :-)
                    Notepad = list
                    list = 37
                    buyyyy
                    ========No Viruse Found========
                    MCAFEE.COM

          Fichero adjunto: List480.TXT.scr
  
  
Síntomas de infección: 

          El gusano llega incluido en un fichero adjunto con el siguiente icono:
 

 
          Cuando se ejecuta este fichero se muestra el siguiente mensaje de error:
 
 
          La acción más destructiva que realiza este gusano se activa dependiendo de la fecha del ordenador afectado. Ésta consiste en formatear las unidades D, E, F, G, H e I del ordenador afectado. Adicionalmente, borra todos los ficheros de la unidad C: que no se encuentren en uso.

          En este caso, muestra una ventana de texto con el título LoOoOol y el texto My Life.F . Una vez mostrado este mensaje el gusano intenta borrar el contenido de las mencionadas unidades. 
  
  
Métodos de infección: 
  
          Para llevar a cabo sus acciones, el gusano introduce la siguiente clave en el registro de Windows

          HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sys =
          %system%/List480.TXT.scr

          Por otra parte, el gusano hace llamadas al Shell de DOS con el fin de borrar el contenido de las unidades arriba mencionadas:

    command.com /c format d:/q/u/autotest
    command.com /c format e:/q/u/autotest
    command.com /c format f:/q/u/autotest
    command.com /c format g:/q/u/autotest
    command.com /c format h:/q/u/autotest
    command.com /c format i:/q/u/autotest
    command.com /c deltree /y c:\*.*
  
Cómo reparar los efectos producidos: 
  
          El primer síntoma de la presencia de este gusano en el ordenador afectado es la recepción de un mensaje de correo con las características mencionadas en el apartado Método de Propagación.

          Si usted ha recibido un mensaje con tales características, NO ABRA EL MENSAJE NI EJECUTE EL FICHERO ADJUNTO. Si lo hiciera, el gusano se activaría y trataría de reenviarse. Para evitar cualquier posibilidad de que este gusano actúe, es importante eliminar el mensaje definitivamente. 

          Puede averguar si su ordenador está infectado haciendo lo siguiente: 

                    Compruebe la existencia del siguiente fichero: c:\%system%\List480.TXT.scr
                    (donde %system% es el directorio de sistema de Windows)

          A continuación compruebe la existencia de la siguiente entrada en el registro de Windows:

                    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\sys =
                    %system%/List480.TXT.scr

          Si el fichero o la entrada de registro mencionadas se encuentran en su ordenador, significa que éste se encuentra infectado.
 
          Adicionalmente, también puede saber si está infectado, haciendo lo siguiente: 

          Si usted es cliente registrado de Panda Software, actualice su herramienta antivirus en la dirección http://www.pandasoftware.es/es/actualizaciones.asp. Después de hacerlo, realice un análisis con él. 

          Si usted no es cliente registrado de Panda Software, analice ahora su/s ordenador/es mediante nuestra herramienta de análisis OnLine: ActiveScan.

          La mejor forma de estar protegido contra este y cualquier otro virus, es instalar un buen antivirus, mantenerlo siempre actualizado y activar su protección permanente. 
 
          Adicionalmente, si dispone de herramientas de filtrado de contenidos (email gateway) filtre los mensajes con las características mencionadas en el apartado Método de propagación.

          Es recomendable activar un sistema de filtrado adecuado en su programa de correo electrónico.

          Si usted ha recibido el gusano a través del correo electrónico y el antivirus así lo ha detectado, deberá eliminar el mensaje que usted ha recibido tanto de la bandeja de entrada como de la bandeja de elementos eliminados. 

          Siga los siguientes pasos para eliminar el gusano W32/Mylife.F: 

  • Actualice su antivirus con el último fichero de identificadores de virus disponible.
  • Realice un análisis completo de su ordenador con su antivirus o bien con la solución gratuita ActiveScan y elimine los ficheros donde se detecte este gusano. 
  • Borre la entrada que este gusano introduce en el Registro de Windows. Ésta se encuentra en la siguiente ubicación del Registro: 
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\sys = %system%/List480.TXT.scr