GUSANO

MyBabyPic

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: "IWorm_Myba", "I-Worm.Myba", "W32/Babypic@mm", "MYBABYPIC.EXE", "TROJ_Mybabypic.A", "Myba".
Fecha de aparición: finales de febrero de 2001.

"Myba" es un gusano de Internet que se difunde a través de e-mail o correo electrónico. Para su difusión el gusano emplea la agenda de direcciones Outlook, enviándose a sí mismo a todas las direcciones que se almacenan en ésta.

El gusano en sí mismo es una aplicación Win32 escrita en VisualBasic y su código parece estar basado en el gusano "LoveLetter" o "I-Worm.LoveLetterVBS" adaptado al lenguaje VisualBasic.

El formato del e-mail que contiene el virus es el siguiente:

Subject: "My bay pic!!!"
Cuerpo: "It's animated baby picture!!"
Attachment: mybabypic.exe.

Cuando se ejecuta el archivo adjunto al mensaje de correo que porta la infección, el gusano inicia su reenvío a las direcciones de la agenda y se instala en el sistema, llevando a cabo acciones destructivas. Además se copia a sí mismo en el directorio de Windows con los nombres: WINKERNEL32.EXE, MAYBABYPIC.EXE, WIN32DLL.EXE, CMD.EXE Y COMMAND.EXE. Estas copias las registra en la sección autorun del sistema de registro de Windows, lo que permite al gusano ser ejecutado cada vez que el equipo se vuelve a poner en marcha.

"Myba" contiene una peligrosa y destructiva carga, ya que puede destruir información de importancia en el PC. Dependiendo del número de día en curso y de la hora, el gusano enciende y apaga las teclas de NumLock, CapLock y las de ScrollLock; manda al keyboard buffer el mensaje "IM_BESIDES_YOU_"; conecta con el site www.youvebeenhack.com y manda allí uno de los siguientes mensajes:

FORM BUGGER
HAPPY VALENTINES DAY FROM BUGGER
HAPPY HALLOWEEN FROM BUGGER

El gusano corrompe archivos con determinadas extensiones, en el caso de archivos VBS, VBE corrompe su contenido. En JS, JSE, CSS, WSH, SCT, HTA, PBL, CPP, PAS, C, H, crea un nuevo archivo con el nombre original sin su extensión y EXE como nueva, copia el cuerpo allí y suprime el original. En el caso de JPG, JPGE hace lo mismo que el anterior pero añade EXE al nombre completo del archivo. En el caso de MP2, MP3 y M3U el gusano crea un nuevo archivo con la extensión EXE añadida, escribe su código allí y establece el atributo del archivo escondido para el original.


Copyright © VIRUSPROT.COM