W32/MyLife (inkl. Varianten)

Von diesem bösen Wurm sind verschiedene Varianten im Umlauf. Die Mail der ersten Variante (W32/MyLife.A) trägt diese Kennzeichen:

Betreff: my life ohhhhhhhhhhhhh

Beilage: MY LIFE.SCR (mit einem grünen Symbol)

Mailtext:

Hiiiii

How are youuuuuuuu?

look to the digital picture it's my love

vvvery verrrry ffffunny :-)

my life = my car

my car = my house

Lässt sich der Empfänger der Mail dazu hinreissen, die Beilage zu öffnen, wird ein kleines Gemälde eines Mädchens mit Rose angezeigt, während sich der Wurm im System-Ordner niederlässt und sich via Outlook an die Einträge des Adressbuchs weiterschickt. Den folgenden Windows Registry-Schlüssel legt der Wurm an, um beim nächsten Systemstart wieder ausgeführt zu werden:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

stmgr=C:\WINDOWS\SYSTEM\My Life.scr

Nach dem Neustart des Computers wartet der Wurm, bis die Minutenzahl der PC-Zeit über 45 beträgt, dann versucht er alle Dateien mit Endung .COM und .SYS direkt in C:\ zu löschen, sämtliche Dateien mit Endung .COM, .SYS, .INI und .EXE im Windows-Ordner und alle .SYS, .VXD, .EXE und .DLL im Ordner C:\Windows\System. Gemäss der Wurm-Beschreibung von McAfee gelingt dem Wurm dieses Unterfangen aufgrund eines Bugs angeblich nicht.

Gefährliche Varianten:

Vom selben Wurm sind noch gefährlichere Varianten aufgetaucht. Das bedeutet, dass der Programmcode des Wurms verändert und mit weiteren Schadens-Teilen oder anderen E-Mail-Texten versehen wurde. Durch zusätzliche Zeilen wird das so genannte "Social Engineering" [1] des E-Mail-Textes noch verstärkt, indem vorgegaukelt wird, die Beilage sei durch McAfee virengeprüft.

VARIANTE: W32/MyLife.B

Mail-Betreff: bill caricature

Beilage: CARI.SCR

Mail-Text:

Hiiiii

How are youuuuuuuu?

look to bill caricature it's vvvery verrrry ffffunny :-) :-)

i promise you will love it? ok

buy

========No Viruse Found========

MCAFEE.COM

--------------------------------------------

Der von Variante B angelegte Registry-Schlüssel:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

win=c:\Windows\System\cari.scr

Die Variante B wartet darauf, dass die Stunde der aktuellen Zeit über 8 beträgt, dann versucht der Schädling auf den Laufwerken C, D, E und F alle Dateien zu löschen.

VARIANTE: W32/MyLife.C

Betreff der Mail: The List

Beilage (Achtung: doppelte Endung): LIST.TXT.scr

Der Mail-Text:

Hiiiii

How are youuuuuuuu?

Here is that Notepad you asked for ... don't show anyone else ;-)

Notepad = list

list = 137

buyyyy

========No Viruse Found========

MCAFEE.COM

------------------------------

Verbreitung: Wird die Beilage durch den Benutzer gestartet, schickt sich der Wurm (wie in der Ur-Version) an die Outlook Adresseinträge und zusätzlich an die Einträge einer allenfalls vorhandenen Kontaktliste des MSN Messengers. Dabei zeigt er ein Fehler-Fenster mit weissen Kreuz im roten Kreis an, welches den Text "Error Notepad.dll ##" und eine OK-Schaltfläche enthält.

Der Registry-Eintrag, den Variante C anlegt:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

sys=C:\WINDOWS\SYSTEM\LIST.TXT.scr

Auch diese Wurm-Variante versucht, die Daten des Opfers zu zerstören. Sobald die PC-Uhr eine Minutenzahl über 50 aufweist, blendet der Wurm eine Dialogbox mit dem Titel "LoOoOoL" und dem Text "My Life.C" ein, während er versucht, alle Dateien auf dem Laufwerk C: zu löschen und die Laufwerke C, E, F, G, H und I zu formatieren.

VARIANTE: W32/MyLife.F

Die Variante F gleicht der C-Variante aufs Haar, mit folgenden Ausnahmen:

Die Mailbeilage heisst: List480.TXT.scr

Der Registry-Schlüssel, in welchen sich der Wurm einträgt, lautet:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

sys = C:\WINDOWS\SYSTEM\List480.TXT.scr

Hier einige Original-Beschreibungen dieses Wurms und seiner Varianten, teils inklusive Screenshots der Mails und der angezeigten Bilder bzw. Dialogboxen:

- NAI/McAfee über W32/MyLife.A [2], MyLife.C [3] und MyLife.F [4]

- Kaspersky über I-Worm.MyLife [5]

- Symantec über MyLife.C [6] und MyLife.F [7]

- Norman über W32/MyLife.B@mm [8] und MyLife.F [9]

Auch von diesem Wurm sind leider noch weitere Varianten zu erwarten. Die wichtigste Vorsichtsmassnahme ist und bleibt die Skepsis: Führen Sie keine Mailbeilage aus, auch wenn sie noch so harmlos erscheint.

VARIANTE: W32/Mylife.M, UPDATE vom 7. Juli 2003:

Es wurde eine neue Variante des Mylife-Wurms gesichtet, die bei Symantec die Bezeichnung W32.Mylife.N@mm [10] trägt und bei F-Secure Mylife.M [11] heisst. Bei NAI/McAfee [12] finden Sie zudem Screenshots der Mails, in denen sich Mylife.M verbreitet.

Beim Starten des Wurms wird eine MPG-Datei erzeugt und mit dem Windows Media Player angezeigt. Nun kopiert sich der Schädling mit einem der beiden folgenden Namen in den Windows System-Ordner:

Julia_Roberts_F*cking_toilet.Mpeg_.scr

Shakira_1997_part_1_.Mpeg_.scr

Diese Datei trägt der Wurm wie folgt in die Windows Registry ein:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Name: "Win32"

Wert: "%winsysdir%\Shakira_1997_part_1_.Mpeg_.scr"

oder

Wert: "%winsysdir%\Julia_Roberts_F*cking_toilet.Mpeg_.scr"

Diese neue Mylife-Variante verbreitet sich mit Mailtexten, die wie folgt lauten:

"Hi

How are you?

Lexy and Mystique, a couple of 18 yr old bi gothic chicks, came

over and had some fun in our shower. This scene looks even

better on video, check em out at gotgiclex.com

========No virus detected======== MCAFEE.COM""

oder

"Hi

i saw this good ASS,, i sleep 3 hours ;-)

check Shakira ass soory Shakira movi :)

========No virus detected======== MCAFEE.COM"

Mit diesem Wurm ist überhaupt nicht zu spassen, denn unter gewissen Umständen löscht er alle Dateien der Laufwerke D:, E: und F:, sowie alle Dateien aus dem Windows-System-Ordner und alle SYS-Dateien aus dem Windows-Ordner.