Nombre de virus: W32/MyLife.b@MM
Alias conocidos: W32.Caric@mm, Win32/Cari.Worm
Riesgo Infección: Alto (Bajo, Medio, Alto, Muy Alto)
Activación: Por ejecución de fichero adjunto al e-mail
Propagación: Envío masivo por e-mail a toda la libreta de direcciones de Windows
Detección: DATS 4193
Motor necesario: 4.0.70
Infección actual: Inicial (Inicial, Media, Elevada)

Se trata de una variante del gusano w32/MyLife@MM de Internet, que se reproduce por envío de e-mails vía Outlook, utilizando las direcciones que se encuentran en la libreta de direcciones de Outlook y en la lista de contactos de MSN Messsenger.

El mensaje en el que llega tiene el siguiente formato:

Adjunto: cari.scr

Una vez ejecutado el fichero adjunto, se visualiza la siguiente imagen mientras el gusano se copia a la carpeta de Sistema e inicia su rutina de envío por e-mail:

Si vemos aparecer dicha imagen, NO SE DEBE REINICIAR EL EQUIPO sin antes haber eliminado el virus, pues de lo contrario nos arriesgamos a activar el payload del virus, que consiste en borrar ficheros críticos de Windows, sin los cuales el ordenador no arrancaría.

Asimismo, se añade la siguiente clave en el registro de sistema para ejecutar el gusano en un reinicio posterior del equipo:

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run\win=C:\WINDOWS\SYSTEM\cari.scr

Tras reiniciar Windows, el gusano ya no se vuelve a propagar de nuevo y no se visualiza la imagen anterior. Cuando el gusano se ejecuta desde el directorio System y la hora es

8:xx am, borra los siguientes ficheros:

· *.* de C:\ D:\ E:\ y F:\

· *.SYS, *.VXD, *.OCX y *.NLS de C:\WINDOWS\SYSTEM

Se controla con VIRUSSCAN desde DATS 4193, disponibles en nuestra web www.satinfo.es

SATINFO, VIRUSCAN SPAIN SERVICE 26 de Marzo de 2002

Anterior