Der W32.Mylife.M@mm löscht und überschreibt nach der Aktivierung zahlreiche Daten auf den betroffenen Laufwerken und vermehrt sich wie üblich per mail, indem er sich an alle Adressen im Outlook-Adressbuch verschickt.


Erkennen kann man den Übeltäter am Betreff "SARAH SCREEN SAVER", dem Nachrichtentext

hi
how are u?
look at sarah screen saver (;-) it`s very good
bye

und dem Anhang sarah.scr, indem der eigentliche Wurm steckt.

Wenn er aktiviert wird, versendet er eine mail an die Adresse sarah700@email.com und kopiert sich in das Windows-Systemverzeichnis. Dazu schreibt er sich als Autostart in die Registry, so dass der Wurm bei jedem Neustart wieder aktiviert wird.

Ist die aktuelle Uhrzeit in Sekunden größer als 45, beginnt die eigentliche Zerstörung: Der Wurm durchsucht alle Laufwerke und löscht alle Dateien, die sich innerhalb der ersten Verzeichnisstufe vom Stammverzeichnis aus befinden. Alles klar? Es werden also zum Beispiel alle Dateien in c:Programme gelöscht. Außerdem werden alle Dateien im Stammverzeichnis überschrieben.

Dann gibt der Wurm zwei Dialogboxen aus, um dann zu versuchen, alle Dateien mit den Endungen .sys, .vxd, .ocx und .nls im aktuellen Verzeichnis zu löschen. Im Anschluss will der Wurm mit einem Deltree-Befehl sein Werk vollenden.

Zum Glück bieten bereits viele Hersteller von Anti-Virus-Software aktuelle Virensignaturen an.


Text by Nick @ GIGA-Help