A Palyh féreg a support@microsoft.com nevében érkezik

forrás Prim Online, 2003. május 19. 13:23
[smallimage 1 left]A Network Associates Avert Kutató Központja közepes kategóriájú riasztást adott ki a Palyh (W32/Palyh@MM) kódnevű összetett féregről. A fertőzést hordozó levelek közös jellemzője, hogy látszólag a support@microsoft.com címről érkeznek. A mai napon megjelent 4265-ös DAT fájl már megvéd a féreg ellen.
Május 18-án bukkantak rá az AVERT kutatói a jelenleg közepes (medium) veszélyességűnek minősített internetes levelező programféregre, melynek mérete mintegy 50 KB. A W32/Sobig@MM nevű programféregre erősen hasonlító kártevőt MS Visual C-ben írták, és az UPX nevű EXE-tömörítővel zsugorították össze.

A Palyh elsősorban e-mail mellékletekben terjed, de a fertőzött gépről már megosztott könyvtárakon keresztül is képes további gépeket megfertőzni. A féreg saját SMTP motorját használva készíti elő a kiküldendő fertőzést hordozó leveleket. Az ezekhez szükséges címeket a fertőzött gépekről gyűjti össze az ott található WAB, DBX, HTM, HTML, EML és TXT fájlokból.

A fertőzést hordozó levelek közös jellemzője, hogy látszólag a support@microsoft.com címről érkeznek, és a Tárgy (Subject) rovatban az alábbiak valamelyike szerepel: „Re: My application", „Re: Movie", „Cool screensaver", „Screensavers", „Re: My details", "Your password", „Re: Approved (Red. 3394-65467)", „Approved (Ref. 38446-263)" vagy „Your details". A fertőzést hordozó levelek szövegteste ismét közös: „All information is in the attached file."

A W32/Sobighoz hasonlóan a Palyh is .PIF kiterjesztéssel csatolja a féregprogram kódját a levélhez, de ez olykor csonkul, és .PI lesz belőle.

A féreg a helyi hálózaton keresztül is terjed. Miután a fertőzött gépen vezérléshez jut, megkísérli bemásolni a féregprogramot a Windows könyvtárába - ennek helyét a %windir% változóból olvassa ki - msccn32.exe néven (ez egy mintegy 50 kB méretű fájl, maga a féregprogram). Mellé készít még két konfigurációs fájlt is hnks.ini és mdbrr.ini néven. Hogy minden rendszerindításkor vezérléshez juthasson, a féreg linkeket helyez el a „\Documents and Settings\All Users\Start Menu\Programs\Startup\" és a „\Windows\All Users\Start Menu\Programs\Startup\" folderekben, valamint a Registryben is két helyen. Egy-egy "System Tray" = %WinDir%\msccn32.exe bejegyzést készít a HKCU\Software\Microsoft\Windows\CurrentVersion\Run és a HKLM\Software\Microsoft\Windows\CurrentVersion\Run kulcs alatt.

A féreg további jellemzője, hogy tartalmaz egy olyan rutint, amely kiolvassa a rendszerdátumot és időt. Amennyiben ez 2003. május 31. vagy egy későbbi dátum, a féreg nem postázza szét tovább magát, bár a megfertőzött gépre azért betelepszik.

Az AVERT webhelyén a Palyh részletes angol ismertetője és az eltávolításához szükséges EXTRA.DAT file is megtalálható a vil.nai.com/vil/content/v_100307.htm címen. A május 18. óta ismert féreg azonosításához szükséges adatok a 4265-ös DAT fájlokba kerültek be. A gyanús mintákat az AVERT www.webimmune.net weboldalán várják.

Biztonság ROVAT TOVÁBBI HÍREI

Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra

Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.

2024. november 4. 13:17

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59