De fleste antivirus produkter er i stand til å oppdage denne varianten ved
hjelp av heuristisk scanning.
Ormen er skrevet i Visual Basic og pakket med UPX. For at ormen skal kjøre på et system kreves biblioteksfilen MSVBVM60.DLL (Visual Basic Virtual Machine). Uten denne vil ormen være uskadelig.
W32.Mylife-M.worm sender seg selv videre via Outlook. Alle e-mail-adresser i adresseboken mottar en kopi av den.
Emnelinjen på e-posten er "Old Shakira". Innholdet i e-posten er som følger:
Hi
i saw this good ASS,, i sleep 3 hours ;-)
check Shakira ass soory Shakira movi :)
========No virus detected========
MCAFEE.COM
Vedlagt er filen "Shakira_1997_part_1_.Mpeg_.scr".
Alternativt er emnelinjen "Fw: Julia Roberts", og innholdet som følger:
Hi
How are you?
Lexy and Mystique, a couple of 18 yr old bi gothic chicks, came over and had some fun in our shower. This scene looks even better on video, check em out at gotgiclex.com
========No virus detected========
MCAFEE.COM
Vedlagt er filen "Julia_Roberts_Fucking_toilet.Mpeg_.scr"
Hvis du kjører vedlegget, dropper ormen en tom fil, "MyLife.mpg" i roten til disken hvor Windows er installert. Ormen starter deretter filen som typisk åpner Microsoft Media Player. Denne teknikken anvendes med stor sannsynlighet for å skjule ormens hensikt. I neste rutine droppes 2 kopier av ormen til windows systemmappen:
Shakira_1997_part_1_.Mpeg_.scr
Julia_Roberts_Fucking_toilet.Mpeg_.scr
Ormen foretar en endring i registeret for å sikre at ormen reaktiveres ved oppstart av systemet. Det skjer ved å oprette en runas verdi som peker på ormen:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Win32 = %windows systemmappen%\Shakira_1997_Part_1_.Mpeg_.scr
W32.Mylife-M.worm, er ondsinnet og forsøker med jevne mellomrom å slette vitale mapper fra brukerens system.
Sannsynligvis må du installere Windows på nytt.
