22 marca 2002

I-Worm.MyLife - usuwa pliki

Jest to robak rozprzestrzeniający się poprzez Internet jako załącznik wiadomości e-mail. Wirus ma postać pliku PE EXE o rozmiarze około 30 KB (postać skompresowana) lub 55 KB (postać rozpakowana) i został napisany w języku programowania Visual Basic.

Zainfekowane wiadomości wyglądają następująco:

Temat: Subject: my life ohhhhhhhhhhhhh

Treść:

Hiiiii
How are youuuuuuuu?
look to the digital picture it's my love
vvvery verrrry ffffunny :-)
my life = my car
my car = my house

Nazwa załączonego pliku: My Life.scr" name

Robak uaktywnia się z zainfekowanej wiadomości tylko wtedy, gdy użytkownik uruchomi załącznik.

Podczas pierwszego uruchomienia robak wyświetla na ekranie obrazek. Gdy użytkownik zamknie go, szkodnik uruchamia swoją procedurę dodatkową.

Instalacja

Robak kopiuje się z nazwą "My Life.scr" do katalogu systemowego Windows i tworzy dla tej kopii klucz auto-run w rejestrze:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
stmgr=%SYSTEM%\My Life.scr

gdzie %SYSTEM% jest nazwą katalogu systemowego Windows.

Rozprzestrzenianie

W celu wysyłania zainfekowanych wiadomości robak wykorzystuje program Microsoft Outlook oraz jego książkę adresową.

Procedura dodatkowa

Robak sprawdza bieżącą datę systemową i jeżeli liczba minut jest większa niż 45 usuwa pliki:

  • .SYS oraz .COM z katalogu głównego dysku C:;
  • .COM, .SYS, .INI oraz .EXE z katalogu Windows;
  • .SYS, .VXD, .EXE oraz .DLL z katalogu systemowego Windows.