Prim Hírek

Május 18-án bukkantak rá az AVERT kutatói a jelenleg közepes (medium) veszélyességűnek minősített internetes levelező programféregre, melynek mérete mintegy 50 KB. A W32/Sobig@MM nevű programféregre erősen hasonlító kártevőt MS Visual C-ben írták, és az UPX nevű EXE-tömörítővel zsugorították össze.

A Palyh elsősorban e-mail mellékletekben terjed, de a fertőzött gépről már megosztott könyvtárakon keresztül is képes további gépeket megfertőzni. A féreg saját SMTP motorját használva készíti elő a kiküldendő fertőzést hordozó leveleket. Az ezekhez szükséges címeket a fertőzött gépekről gyűjti össze az ott található WAB, DBX, HTM, HTML, EML és TXT fájlokból.

A fertőzést hordozó levelek közös jellemzője, hogy látszólag a support@microsoft.com címről érkeznek, és a Tárgy (Subject) rovatban az alábbiak valamelyike szerepel: „Re: My application", „Re: Movie", „Cool screensaver", „Screensavers", „Re: My details", "Your password", „Re: Approved (Red. 3394-65467)", „Approved (Ref. 38446-263)" vagy „Your details". A fertőzést hordozó levelek szövegteste ismét közös: „All information is in the attached file."

A W32/Sobighoz hasonlóan a Palyh is .PIF kiterjesztéssel csatolja a féregprogram kódját a levélhez, de ez olykor csonkul, és .PI lesz belőle.

A féreg a helyi hálózaton keresztül is terjed. Miután a fertőzött gépen vezérléshez jut, megkísérli bemásolni a féregprogramot a Windows könyvtárába - ennek helyét a %windir% változóból olvassa ki - msccn32.exe néven (ez egy mintegy 50 kB méretű fájl, maga a féregprogram). Mellé készít még két konfigurációs fájlt is hnks.ini és mdbrr.ini néven. Hogy minden rendszerindításkor vezérléshez juthasson, a féreg linkeket helyez el a „\Documents and Settings\All Users\Start Menu\Programs\Startup\" és a „\Windows\All Users\Start Menu\Programs\Startup\" folderekben, valamint a Registryben is két helyen. Egy-egy "System Tray" = %WinDir%\msccn32.exe bejegyzést készít a HKCU\Software\Microsoft\Windows\CurrentVersion\Run és a HKLM\Software\Microsoft\Windows\CurrentVersion\Run kulcs alatt.

A féreg további jellemzője, hogy tartalmaz egy olyan rutint, amely kiolvassa a rendszerdátumot és időt. Amennyiben ez 2003. május 31. vagy egy későbbi dátum, a féreg nem postázza szét tovább magát, bár a megfertőzött gépre azért betelepszik.

Az AVERT webhelyén a Palyh részletes angol ismertetője és az eltávolításához szükséges EXTRA.DAT file is megtalálható a vil.nai.com/vil/content/v_100307.htm címen. A május 18. óta ismert féreg azonosításához szükséges adatok a 4265-ös DAT fájlokba kerültek be. A gyanús mintákat az AVERT www.webimmune.net weboldalán várják.