Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Mywife.C tiene los siguientes efectos:
Metodo de Infección
Mywife.C crea los siguientes archivos:
- DOWNLOADING.DVD_________________________________________________________.EXE, FILE-04-MUSIC.DVD_________________________________________________________.SCR, MODERATER.BAT, MOVIE009.PIF, CONNECTION.EXE, NEW-VIDEO977.DVD_________________________________________________________.SCR, SOUNDTRACK01.CD_________________________________________________________.EXE, REACTIVE_GROUP.BAT, TASKMANM.EXE y THE_MEMBERS.BAT en el directorio de sistema de Windows. Estos archivos son copias del gusano.
- TASK.EXE en el directorio de Windows, y HH.EXE en la subcarpeta VOLUME de dicho directorio. Son copias del gusano.
- MEDIA PLAYER.EXE en la subcarpeta INTERNET EXPLORER del directorio Archivos de Programa. Es una copia del gusano.
- OSSMTP.DLL en el directorio de sistema de Windows. Este archivo es una DLL (Librería de Enlace Dinámico), y tiene un tamaño de 26989 Bytes.
- VIDEO01.JPG en el directorio de sistema de Windows. Este archivo gráfico contiene una foto pornográfica.
- ABOUT.TXT, HISTORIAS_NUEVAS__HIGHWAY_BLUES.RM, SPECIAL.RM y MUSIC09.RM en el directorio de sistema de Windows. Son archivos de tamaño 127 Bytes, que contiene un texto que invita a visitar dos páginas web con música y películas.
- ABOUT_BLACKWORM.C.TXT. Es un archivo de texto de tamaño 184 Bytes, que contiene un texto crítico con Microsoft y Bill Gates.
Mywife.C posee código para borrar los archivos de extensiones DOC, JPG, MDB, MDE, PPT, PSD y XLS.
Mywife.C crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HH.EXE = %windir%\ VOLUME\ HH.EXE
donde %windir% es el directorio de Windows. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Active Setup
Security = %sysdir%\ TASKMANm.exe
donde %sysdir% es el directorio de sistema de Windows. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
(Default) = %windir%\ VOLUME\ HH.EXE
Mediante estas entradas, Mywife.C consigue ejecutarse cada vez que Windows se inicia. - Adicionalmente, también crea diversas entradas, con objeto de registrar la librería OSSMTP.DLL.
Mywife.C borra de las siguientes rutas:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices
las entradas que tienen alguno de los siguientes nombres:
NPROTECT
ccApp
ScriptBlocking
MCUpdateExe
VirusScan Online
MCAgentExe
VSOCheckTask
PCClient.exe
PCCIOMON.exe
pccguide.exe
PccPfw
tmproxy
McAfeeVirusScanService
NAV Agent
PCCClient.exe
SSDPSRV
Taskmon
KasperskyAv
system
msgsvr32
Windows Services Host
Explorer
Sentry
ssate.exe
winupd.exe
au.exe
Estas entradas pertenecen a diversos programas antivirus, además de a otros gusanos, como por ejemplo Mydoom.A, Mimail.T y diferentes variantes de Bagle.
Borrando estas entradas, Mywife.C consigue que dichos programas antivirus y gusanos no se ejecuten automáticamente cuando Windows se inicia.
Método de Propagación
Mywife.C se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:
Llega al ordenador afectado en un mensaje de correo electrónico de características variables:
Remitente:
Mywife.C falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse
aquí.
Utiliza uno de los siguientes falsos remitentes:
Bad Love: user377@worldsex.comBinnn MT: King_sexy@hotmal.comGenius: gustes@msn.comLola Ashton: linda200@gmail.comRalph: fack_back06@mail.com
Sara GL: hot_woman2362@freevideos.netSweet Women: admin@newmovies.comThe Moon: lost_love705@yahoo.comThomas: thomas_gay6@iopus.comvip: sandra@oxygen.comAsunto: uno de los siguientes:
Sinfonma n: 9 de Beethoven Scherzo
Historias nuevas Highway BluesContenido:
see the attached
Archivo adjunto: es variable. Tendrá uno de los siguientes nombres, y extensión
TGZ o
ZIP:
SINFONMA N: 9 DE BEETHOVEN SCHERZO
HISTORIAS NUEVAS HIGHWAY BLUES
También adjuntará el archivo
VIDE01.JPG, que contiene una imagen pornográfica.
- El ordenador queda afectado cuando el usuario ejecuta el archivo adjunto.
- Mywife.C busca direcciones de correo en todos los archivos con extensiones HTM y DBX, además de la Libreta de direcciones de Yahoo y Messenger.
- Envía por correo electrónico una copia de sí mismo a todas las direcciones que ha recogido, empleando para ello un motor SMTP externo (incluido en uno de los archivos que crea) y el servidor de correo por defecto de la cuenta del usuario de Outlook o el servidor de Hotmail.
Otros Detalles
Mywife.C está escrito en el lenguaje de programación Visual Basic v6.0 (pCodes). Este gusano tiene un tamaño de 71013 Bytes cuando está comprimido mediante UPX modificado, y de aproximadamente 116 KBytes una vez es descomprimido.
Mywife.C modifica el nombre de usuario del programa Winzip por BlackWorm, y su número de serie por 2AD00ED6.
Mywife.C contiene el siguiente texto dentro de su código, aunque no es mostrado en ningún momento:
#%MaDe@By@MyLiFe%#: