Na sedmém místě statistiky MessageLabs se objevila novinka z rodiny červů MyLife. Ve statistice má přes 6 000 zachycených exemplářů ve 47 zemích světa.
Červ láká oběti na údajné kompromitující filmové záběry známé hollywoodské herečky Julie Roberts nebo intimní záběry popové zpěvačky Shakiry. Nahé či polonahé ženy jsou ověřenou návnadou sociálního inženýrství pisatelů virů. Uživatele se snaží zviklat i textem o provedené antivirové kontrole. Ostražitý uživatel by si neměl nevšimnout druhé přípony (SCR) a velmi malé velikosti údajného MPEG souboru – pouhých 8 kB.
Příchozí e-mail má jednu z těchto podob:
Předmět: Old Shakira
Text:
Hi
i saw this good ASS,, i sleep 3 hours ;-)
check Shakira ass soory Shakira movi :)
========No virus detected========
MCAFEE.COM
Příloha: Shakira_1997_part_1_.Mpeg_.scr
Předmět: Fw: Julia Roberts
Text:
How are you?
Lexy and Mystique, a couple of 18 yr old
bi gothic chicks, came over and
had some fun in our shower. This scene
looks even better on video, check
em out at gotgiclex.com
Příloha: Julia_Roberts_Fucking_toilet.Mpeg_.scr
Jestliže sexuchtivý uživatel spustí přiložený soubor, červ vytvoří v kořenovém adresáři disku C soubor MyLife.mpg nulové velikosti. Ten se pak pokusí spustit; přehrávač souborů MPEG samozřejmě skončí chybou.
Pak uloží svou kopii do systémové složky Windows (ve Windows 95/98/ME standardně C:\Windows\System, C:\Winnt\System32 ve Windows NT/2000, nebo C:\Windows\System32 u Windows XP) pod názvy příloh obou variant e-mailů. A své příští spuštění si zajistí zápisem v registru.
Dále se zašle na všechny adresy v seznamu kontaktů v infikovaném počítači. Pokud je na počítači ukazují hodiny systémový čas mezi 50 a 59 minut kterékoliv hodiny spustí se destruktivní rutina, jenž maže všechny soubory na disku D: až F:, všechny soubory v systémové složce Windows a všechny .SYS soubory v hlavním adresáři OS Windows (standardně C:\Windows nebo C:\WinNT).
Tímto způsobem může být uživatel, zvědavý na záběry z toalet, mít své soubory v … toaletě.
Pro odstranění červa stačí smazat oba zmiňované SCR soubory a zápis v registru (HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Win32) jenž jej spouštěl.
