Andreas
Virenwarnung - W32.MyLife.B@mm
Datum:Mon, 25 Mar 2002 07:36:57
Von:[email protected]
Bundesamt für Sicherheit in der Informationstechnik
Mailingliste für Viren-Informationen
VirInfo-2002-03-25
Virus-Warnung - Virus-Beschreibung
Name:32.MyLife.B@mm
Alias: W32.Caric@mm, I-Worm.Mylife
Art:Massenmailer-Wurm
Betriebssystem Microsoft Windows
Verbreitung: mittel (bisher vorwiegend Asien und Australien)
Risiko: hoch (bei Ausführen des Attachments)
Schadensfunktion: versenden von Massenmail, versucht Dateien zu
löschen
W32.MyLife.B@mm ist ein Massenmail Wurm, der sich an alle E-Mail-Adressen des Outlook Adressbuchs versendet. Außerdem verwendet er Adressen aus der
MSN Messenger Datenbank.
Bei der Infektion des Systems kopiert er sich als Datei
C:\Windows\System\Cari.scr in das System; er versucht - abhängig von der Systemzeit - Dateien zu löschen.
Der Betreff einer infizierten E-Mail lautet:
bill caricature
Nachrichtentext:
Hiiiii
How are youuuuuuuu?
look to bill caricature it's vvvery verrrry ffffunny
promise you will love it? ok
buy
========No Viruse Found========
MCAFEE.COM
--------------------------------------------------
Der Name der angehängten Datei ist:
Cari.scr
Sie ist 11.524 Bytes groß.
Wird diese Datei ausgeführt, zeigt W32.MyLife.B@mm eine Grafik an und infiziert das System.
MyLife.B erzeugt einen Schlüssel in der Registry, mit dem er beim
Systemstart aktiviert wird.
Dieser Schlüssel lautet:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"win" = "c:\windows\system\cari.scr"
Der Wurm hat eine programmierte Schadensfunktion:
Wenn die Systemzeit zwischen 8:00 und 9:00 steht, versucht er folgende Dateien zu löschen:
C:\*.*
*.sys
*.vxd
*.ocx
*.nls
d:\*.*
e:\*.*
f:\*.*
Es wird empfohlen, Attachments mit der Datei-Endung .scr, .exe, .com, .bat an einem evtl. vorhandenen Email-Gateway zu filtern.
Ein Update der Viren-Schutzsoftware ist erforderlich. Viren-Signaturen ab
dem 21.3.2002 erkennen diesen Wurm.
Fragen richten Sie bitte an mailto:[email protected]
Virenmeldungen können Sie an mailto:[email protected] senden.
_______________________________________________________________
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
Voice +49-228-9582-444 / FAX +49-228-9582-427
ciao
Andreas
Datum:Mon, 25 Mar 2002 07:36:57
Von:[email protected]
Bundesamt für Sicherheit in der Informationstechnik
Mailingliste für Viren-Informationen
VirInfo-2002-03-25
Virus-Warnung - Virus-Beschreibung
Name:32.MyLife.B@mm
Alias: W32.Caric@mm, I-Worm.Mylife
Art:Massenmailer-Wurm
Betriebssystem Microsoft Windows
Verbreitung: mittel (bisher vorwiegend Asien und Australien)
Risiko: hoch (bei Ausführen des Attachments)
Schadensfunktion: versenden von Massenmail, versucht Dateien zu
löschen
W32.MyLife.B@mm ist ein Massenmail Wurm, der sich an alle E-Mail-Adressen des Outlook Adressbuchs versendet. Außerdem verwendet er Adressen aus der
MSN Messenger Datenbank.
Bei der Infektion des Systems kopiert er sich als Datei
C:\Windows\System\Cari.scr in das System; er versucht - abhängig von der Systemzeit - Dateien zu löschen.
Der Betreff einer infizierten E-Mail lautet:
bill caricature
Nachrichtentext:
Hiiiii
How are youuuuuuuu?
look to bill caricature it's vvvery verrrry ffffunny
promise you will love it? ok
buy
========No Viruse Found========
MCAFEE.COM
--------------------------------------------------
Der Name der angehängten Datei ist:
Cari.scr
Sie ist 11.524 Bytes groß.
Wird diese Datei ausgeführt, zeigt W32.MyLife.B@mm eine Grafik an und infiziert das System.
MyLife.B erzeugt einen Schlüssel in der Registry, mit dem er beim
Systemstart aktiviert wird.
Dieser Schlüssel lautet:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"win" = "c:\windows\system\cari.scr"
Der Wurm hat eine programmierte Schadensfunktion:
Wenn die Systemzeit zwischen 8:00 und 9:00 steht, versucht er folgende Dateien zu löschen:
C:\*.*
*.sys
*.vxd
*.ocx
*.nls
d:\*.*
e:\*.*
f:\*.*
Es wird empfohlen, Attachments mit der Datei-Endung .scr, .exe, .com, .bat an einem evtl. vorhandenen Email-Gateway zu filtern.
Ein Update der Viren-Schutzsoftware ist erforderlich. Viren-Signaturen ab
dem 21.3.2002 erkennen diesen Wurm.
Fragen richten Sie bitte an mailto:[email protected]
Virenmeldungen können Sie an mailto:[email protected] senden.
_______________________________________________________________
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
Voice +49-228-9582-444 / FAX +49-228-9582-427
ciao
Andreas
