A Palyh féreg a support@microsoft.com nevében érkezik
forrás Prim Online, 2003. május 19. 13:23
[smallimage 1 left]A Network Associates Avert Kutató Központja közepes kategóriájú riasztást adott ki a Palyh (W32/Palyh@MM) kódnevű összetett féregről. A fertőzést hordozó levelek közös jellemzője, hogy látszólag a support@microsoft.com címről érkeznek. A mai napon megjelent 4265-ös DAT fájl már megvéd a féreg ellen.
Május 18-án bukkantak rá az AVERT kutatói a jelenleg közepes (medium) veszélyességűnek minősített internetes levelező programféregre, melynek mérete mintegy 50 KB. A W32/Sobig@MM nevű programféregre erősen hasonlító kártevőt MS Visual C-ben írták, és az UPX nevű EXE-tömörítővel zsugorították össze.
A Palyh elsősorban e-mail mellékletekben terjed, de a fertőzött gépről már megosztott könyvtárakon keresztül is képes további gépeket megfertőzni. A féreg saját SMTP motorját használva készíti elő a kiküldendő fertőzést hordozó leveleket. Az ezekhez szükséges címeket a fertőzött gépekről gyűjti össze az ott található WAB, DBX, HTM, HTML, EML és TXT fájlokból.
A fertőzést hordozó levelek közös jellemzője, hogy látszólag a support@microsoft.com címről érkeznek, és a Tárgy (Subject) rovatban az alábbiak valamelyike szerepel: „Re: My application", „Re: Movie", „Cool screensaver", „Screensavers", „Re: My details", "Your password", „Re: Approved (Red. 3394-65467)", „Approved (Ref. 38446-263)" vagy „Your details". A fertőzést hordozó levelek szövegteste ismét közös: „All information is in the attached file."
A W32/Sobighoz hasonlóan a Palyh is .PIF kiterjesztéssel csatolja a féregprogram kódját a levélhez, de ez olykor csonkul, és .PI lesz belőle.
A féreg a helyi hálózaton keresztül is terjed. Miután a fertőzött gépen vezérléshez jut, megkísérli bemásolni a féregprogramot a Windows könyvtárába - ennek helyét a %windir% változóból olvassa ki - msccn32.exe néven (ez egy mintegy 50 kB méretű fájl, maga a féregprogram). Mellé készít még két konfigurációs fájlt is hnks.ini és mdbrr.ini néven. Hogy minden rendszerindításkor vezérléshez juthasson, a féreg linkeket helyez el a „\Documents and Settings\All Users\Start Menu\Programs\Startup\" és a „\Windows\All Users\Start Menu\Programs\Startup\" folderekben, valamint a Registryben is két helyen. Egy-egy "System Tray" = %WinDir%\msccn32.exe bejegyzést készít a HKCU\Software\Microsoft\Windows\CurrentVersion\Run és a HKLM\Software\Microsoft\Windows\CurrentVersion\Run kulcs alatt.
A féreg további jellemzője, hogy tartalmaz egy olyan rutint, amely kiolvassa a rendszerdátumot és időt. Amennyiben ez 2003. május 31. vagy egy későbbi dátum, a féreg nem postázza szét tovább magát, bár a megfertőzött gépre azért betelepszik.
Az AVERT webhelyén a Palyh részletes angol ismertetője és az eltávolításához szükséges EXTRA.DAT file is megtalálható a vil.nai.com/vil/content/v_100307.htm címen. A május 18. óta ismert féreg azonosításához szükséges adatok a 4265-ös DAT fájlokba kerültek be. A gyanús mintákat az AVERT www.webimmune.net weboldalán várják.
A Palyh elsősorban e-mail mellékletekben terjed, de a fertőzött gépről már megosztott könyvtárakon keresztül is képes további gépeket megfertőzni. A féreg saját SMTP motorját használva készíti elő a kiküldendő fertőzést hordozó leveleket. Az ezekhez szükséges címeket a fertőzött gépekről gyűjti össze az ott található WAB, DBX, HTM, HTML, EML és TXT fájlokból.
A fertőzést hordozó levelek közös jellemzője, hogy látszólag a support@microsoft.com címről érkeznek, és a Tárgy (Subject) rovatban az alábbiak valamelyike szerepel: „Re: My application", „Re: Movie", „Cool screensaver", „Screensavers", „Re: My details", "Your password", „Re: Approved (Red. 3394-65467)", „Approved (Ref. 38446-263)" vagy „Your details". A fertőzést hordozó levelek szövegteste ismét közös: „All information is in the attached file."
A W32/Sobighoz hasonlóan a Palyh is .PIF kiterjesztéssel csatolja a féregprogram kódját a levélhez, de ez olykor csonkul, és .PI lesz belőle.
A féreg a helyi hálózaton keresztül is terjed. Miután a fertőzött gépen vezérléshez jut, megkísérli bemásolni a féregprogramot a Windows könyvtárába - ennek helyét a %windir% változóból olvassa ki - msccn32.exe néven (ez egy mintegy 50 kB méretű fájl, maga a féregprogram). Mellé készít még két konfigurációs fájlt is hnks.ini és mdbrr.ini néven. Hogy minden rendszerindításkor vezérléshez juthasson, a féreg linkeket helyez el a „\Documents and Settings\All Users\Start Menu\Programs\Startup\" és a „\Windows\All Users\Start Menu\Programs\Startup\" folderekben, valamint a Registryben is két helyen. Egy-egy "System Tray" = %WinDir%\msccn32.exe bejegyzést készít a HKCU\Software\Microsoft\Windows\CurrentVersion\Run és a HKLM\Software\Microsoft\Windows\CurrentVersion\Run kulcs alatt.
A féreg további jellemzője, hogy tartalmaz egy olyan rutint, amely kiolvassa a rendszerdátumot és időt. Amennyiben ez 2003. május 31. vagy egy későbbi dátum, a féreg nem postázza szét tovább magát, bár a megfertőzött gépre azért betelepszik.
Az AVERT webhelyén a Palyh részletes angol ismertetője és az eltávolításához szükséges EXTRA.DAT file is megtalálható a vil.nai.com/vil/content/v_100307.htm címen. A május 18. óta ismert féreg azonosításához szükséges adatok a 4265-ös DAT fájlokba kerültek be. A gyanús mintákat az AVERT www.webimmune.net weboldalán várják.
Kapcsolódó cikkek
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- 2005 első negyedév: adathalászat, mobilvírusok, és trójaiak
- McAfee: Új, központilag irányított és ellenőrzött védelem spam-ek és vírusok ellen
- Új McAfee WebShield Appliance tartalommenedzsment megoldás
- Cisco NAC támogatás a Network Associates vírusirtó termékeiben
- A McAfee Security új behatolás-megelőző megoldása
- Network Associates-Check Point: integrált biztonsági megoldás kisvállalkozások számára
- W32/Netsky.s@MM: a legújabb változat is közepesen veszélyes
- Számítógép-vírusok - 22 milliárd dolláros kár a nyugat-európai kiscégeknél
- McAfee AVERT vírus körkép és a legfrissebb TOP 10 lista