News
07.07.2003, 15:15 Uhr
W32/MyLife (inkl. Varianten)
Ein Wurm, der den Empfänger durch eine recht geschickt formulierte Mail auffordert, die Beilage zu öffnen. Der MyLife-Wurm kann verhängnisvolle Folgen nach sich ziehen, wie z.B. ein kompletter Datenverlust.
Von diesem bösen Wurm sind verschiedene Varianten im Umlauf. Die Mail der ersten Variante (W32/MyLife.A) trägt diese Kennzeichen:
Betreff: my life ohhhhhhhhhhhhh
Beilage: MY LIFE.SCR (mit einem grünen Symbol)
Mailtext:
Hiiiii
How are youuuuuuuu?
look to the digital picture it's my love
vvvery verrrry ffffunny :-)
my life = my car
my car = my house
Lässt sich der Empfänger der Mail dazu hinreissen, die Beilage zu öffnen, wird ein kleines Gemälde eines Mädchens mit Rose angezeigt, während sich der Wurm im System-Ordner niederlässt und sich via Outlook an die Einträge des Adressbuchs weiterschickt. Den folgenden Windows Registry-Schlüssel legt der Wurm an, um beim nächsten Systemstart wieder ausgeführt zu werden:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
stmgr=C:\WINDOWS\SYSTEM\My Life.scr
Nach dem Neustart des Computers wartet der Wurm, bis die Minutenzahl der PC-Zeit über 45 beträgt, dann versucht er alle Dateien mit Endung .COM und .SYS direkt in C:\ zu löschen, sämtliche Dateien mit Endung .COM, .SYS, .INI und .EXE im Windows-Ordner und alle .SYS, .VXD, .EXE und .DLL im Ordner C:\Windows\System. Gemäss der Wurm-Beschreibung von McAfee gelingt dem Wurm dieses Unterfangen aufgrund eines Bugs angeblich nicht.
Gefährliche Varianten:
Vom selben Wurm sind noch gefährlichere Varianten aufgetaucht. Das bedeutet, dass der Programmcode des Wurms verändert und mit weiteren Schadens-Teilen oder anderen E-Mail-Texten versehen wurde. Durch zusätzliche Zeilen wird das so genannte "Social Engineering" [1] des E-Mail-Textes noch verstärkt, indem vorgegaukelt wird, die Beilage sei durch McAfee virengeprüft.
VARIANTE: W32/MyLife.B
Mail-Betreff: bill caricature
Beilage: CARI.SCR
Mail-Text:
Hiiiii
How are youuuuuuuu?
look to bill caricature it's vvvery verrrry ffffunny :-) :-)
i promise you will love it? ok
buy
========No Viruse Found========
MCAFEE.COM
--------------------------------------------
Der von Variante B angelegte Registry-Schlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
win=c:\Windows\System\cari.scr
Die Variante B wartet darauf, dass die Stunde der aktuellen Zeit über 8 beträgt, dann versucht der Schädling auf den Laufwerken C, D, E und F alle Dateien zu löschen.
VARIANTE: W32/MyLife.C
Betreff der Mail: The List
Beilage (Achtung: doppelte Endung): LIST.TXT.scr
Der Mail-Text:
Hiiiii
How are youuuuuuuu?
Here is that Notepad you asked for ... don't show anyone else ;-)
Notepad = list
list = 137
buyyyy
========No Viruse Found========
MCAFEE.COM
------------------------------
Verbreitung: Wird die Beilage durch den Benutzer gestartet, schickt sich der Wurm (wie in der Ur-Version) an die Outlook Adresseinträge und zusätzlich an die Einträge einer allenfalls vorhandenen Kontaktliste des MSN Messengers. Dabei zeigt er ein Fehler-Fenster mit weissen Kreuz im roten Kreis an, welches den Text "Error Notepad.dll ##" und eine OK-Schaltfläche enthält.
Der Registry-Eintrag, den Variante C anlegt:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
sys=C:\WINDOWS\SYSTEM\LIST.TXT.scr
Auch diese Wurm-Variante versucht, die Daten des Opfers zu zerstören. Sobald die PC-Uhr eine Minutenzahl über 50 aufweist, blendet der Wurm eine Dialogbox mit dem Titel "LoOoOoL" und dem Text "My Life.C" ein, während er versucht, alle Dateien auf dem Laufwerk C: zu löschen und die Laufwerke C, E, F, G, H und I zu formatieren.
VARIANTE: W32/MyLife.F
Die Variante F gleicht der C-Variante aufs Haar, mit folgenden Ausnahmen:
Die Mailbeilage heisst: List480.TXT.scr
Der Registry-Schlüssel, in welchen sich der Wurm einträgt, lautet:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
sys = C:\WINDOWS\SYSTEM\List480.TXT.scr
Hier einige Original-Beschreibungen dieses Wurms und seiner Varianten, teils inklusive Screenshots der Mails und der angezeigten Bilder bzw. Dialogboxen:
- Kaspersky über I-Worm.MyLife [5]
Auch von diesem Wurm sind leider noch weitere Varianten zu erwarten. Die wichtigste Vorsichtsmassnahme ist und bleibt die Skepsis: Führen Sie keine Mailbeilage aus, auch wenn sie noch so harmlos erscheint.
VARIANTE: W32/Mylife.M, UPDATE vom 7. Juli 2003:
Es wurde eine neue Variante des Mylife-Wurms gesichtet, die bei Symantec die Bezeichnung W32.Mylife.N@mm [10] trägt und bei F-Secure Mylife.M [11] heisst. Bei NAI/McAfee [12] finden Sie zudem Screenshots der Mails, in denen sich Mylife.M verbreitet.
Beim Starten des Wurms wird eine MPG-Datei erzeugt und mit dem Windows Media Player angezeigt. Nun kopiert sich der Schädling mit einem der beiden folgenden Namen in den Windows System-Ordner:
Julia_Roberts_F*cking_toilet.Mpeg_.scr
Shakira_1997_part_1_.Mpeg_.scr
Diese Datei trägt der Wurm wie folgt in die Windows Registry ein:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Name: "Win32"
Wert: "%winsysdir%\Shakira_1997_part_1_.Mpeg_.scr"
oder
Wert: "%winsysdir%\Julia_Roberts_F*cking_toilet.Mpeg_.scr"
Diese neue Mylife-Variante verbreitet sich mit Mailtexten, die wie folgt lauten:
"Hi
How are you?
Lexy and Mystique, a couple of 18 yr old bi gothic chicks, came
over and had some fun in our shower. This scene looks even
better on video, check em out at gotgiclex.com
========No virus detected======== MCAFEE.COM""
oder
"Hi
i saw this good ASS,, i sleep 3 hours ;-)
check Shakira ass soory Shakira movi :)
========No virus detected======== MCAFEE.COM"
Mit diesem Wurm ist überhaupt nicht zu spassen, denn unter gewissen Umständen löscht er alle Dateien der Laufwerke D:, E: und F:, sowie alle Dateien aus dem Windows-System-Ordner und alle SYS-Dateien aus dem Windows-Ordner.
Kommentare
Es sind keine Kommentare vorhanden.