Червь Palyh распространяется в фальшивом письме от Microsoft

Новый червь, инициирующий массовую почтовую рассылку, буквально за одну ночь охватил Австралию, в понедельник утром с силой обрушился на Великобританию и устремился в Соединенные Штаты.

Червь Palyh, или Mankx, приходит в письме с фальшивым обратным адресом support@microsoft.com. Он содержит файл, который при исполнении самораспространяется по адресам e-mail, взятым из файлов, хранящихся в системе-жертве, но может переноситься на другие Windows-машины и по локальной сети.

Файл вируса имеет расширение .PI или .PIF, но это файл .EXE, и, так как Windows обрабатывает файлы в соответствии с их внутренней структурой, а не расширением, этот файл исполняется, как только пользователь попытается его открыть.

Похоже, что червь родом из Нидерландов, но в понедельник утром свыше 60% перехваченных электронных писем с этим червем исходило из Великобритании, утверждает фирма MessageLabs. По состоянию на полдень ее серверы остановили свыше 20 тыс. копий червя, причем плотность атаки превышала 2000 зараженных писем в час и доходила до одного червя Palyh на каждые 500 писем. США — вторая страна по активности червя: здесь заражено 6% электронных писем, хотя эксперты ожидают всплеска его активности, когда Америка проснется.

Как утверждает компания Kaspersky Labs, червь, попадая в компьютер-жертву по локальной сети, копирует себя в каталог Windows под именем MSCCN32.EXE и регистрирует этот файл в ключе auto-run системного реестра, так что код помещается в системную память и автоматически запускается при перезагрузке. Однако из-за внутренних ошибок он иногда копирует себя в другой каталог и в этом случае не запускается функцией auto-run.

Если червь скопировался правильно, он начинает программу самораспространения. «Palyh сканирует файлы с расширениями TXT, EML, HTML, HTM, DBX, WAB и находит в них строки, которые могут быть адресами e-mail, — считает Kaspersky. — Palyh обходит установленную программу e-mail и использует для отправки своих копий по найденным адресам сервер SMTP». При распространении по локальной сети Palyh копирует себя в папки Windows auto-run на других локальных машинах.

Kaspersky уверяет, что, хотя сам червь не опасен, он может переносить с удаленного веб-сервера дополнительные разрушительные компоненты. «При этом Palyh может тайно установить новые версии самого себя или нашпиговать инфицированные системы программами-шпионами».

Автор Palyh встроил в программу часовой механизм: все программы червя, кроме функции обновления, запускаются только до 31 мая 2003 года. Эта особенность гибельна для Palyh, «так как сервер, из которого он получает обновления, очень скоро будет закрыт», утверждает Kaspersky.

Предыдущие публикации:

2003-05-14

В интернете свирепствует червь Fizzer

Обсуждение и комментарии

	C3Man - semdiyahoo.com 20 May 2003 6:14 PM
а почему Kaspersky транслитом?? :)

	Deaddy 26 May 2003 11:19 AM
А потому что ТМ ;-)

← апрель 2003

13 14 15 16 19 20 21 22 23

июнь 2003 →