Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt vor dem neuen Internet-Wurm Palyh, der sich über eMails und über lokale Netzwerke verbreitet und sich als Mitteilung des technischen Supports von Microsoft tarnt. Bis jetzt sind bereits zahlreiche Meldungen von Infizierungen durch diese Malware aus verschiedenen Ländern eingegangen.

Palyh gelangt als Datei im Attachment von eMails oder über das jeweilige lokale Netzwerk auf den Computer. Der Wurm wird beim Starten dieser Datei aktiviert, infiziert dann den Computer und startet seine Verbreitungsprozedur.

Bei seiner Installation, kopiert sich Palyh unter dem Namen MSCCN32.EXE in das Windows-Systemverzeichnis und registriert diese Datei im Autostart-Schlüssel des Systemverzeichnisses. Dadurch wird der Wurm beim Start des Betriebssystems in den Speicher des Computers geladen. Aufgrund eines Fehlers kopiert sich Palyh in einigen Fällen in andere Verzeichnisse, weshalb die Autostart-Funktion manchmal nicht läuft.

Danach startet der Wurm seine Verbreitungsprozeduren. Zum Verschicken seiner Kopien per eMail, sucht er nach Dateien mit den Erweiterungen TXT, EML, HTML, HTM, DBX und WAB und entnimmt ihnen Strings, die eMail-Adressen ähneln. Danach stellt Palyh unter Umgehung des installierten eMail-Systems zum benutzten SMTP-Server her und verschickt über ihn seine Kopien an diese Adressen.
Als Absender hat die Wurm-Mail eine gefälschte Adresse (support@microsoft.com). Die Betreffzeilen, der Mail-Body und die Namen der angehängten Dateien können von Fall zu Fall unterschiedlich sein. Es sollte darauf hingewiesen werden, dass alle Dateien die Erweiterung PIF haben (z.B. PASSWORD.PIF), obschon sie in Wirklichkeit gewöhnliche EXE-Dateien sind. Palyh benutzt nämlich die trügerische Annahme vieler User, dass PIF-Dateien harmlos seien und nutzt dabei einen Mangel von Windows. Bekannterweise bearbeitet dieses Betriebssystem die Dateien nicht nach ihrer Erweiterung, sondern nach ihrem internen Format.

Zur Verbreitung über das lokale Netzwerk, durchsucht der Wurm andere, ans Netzwerk angeschlossene Computer und speichert dort seine Kopien ab, falls er die Windows-Autostart-Verzeichnisse finden kann.

Im Grossen und Ganzen kann Palyh nicht als gefährlich bezeichnet werden. Doch er verfügt über eine ganze Reihe Besonderheiten, welche eine potentielle Gefahr für die Besitzer infizierter Computer darstellen. Der Wurm hat eine Funktion zum Herunterladen zusätzlicher Komponenten von entfernten Web-Servern. Dadurch kann er im infizierten System unbemerkt neuere Versionen oder SpyWare installieren.

Der Autor von Palyh hat in das Programm eine Funktion eingebaut, die zu einem bestimmten Zeitpunkt ausgelöst wird: Am 31. Mai deaktiviert der Wurm automatisch alle seine Funktionen, ausgenommen das Herunterladen zusätzlicher Dateien. Diese Besonderheit besiegelt praktisch das Schicksal von Palyh, da alle Web-Server, von denen er seine Updates herunterlädt, in allernächster Zeit geschlossen werden.

Schutzverfahren gegen Palyh sind bereits der Antiviren-Datenbank von Kaspersky Anti-Virus hinzugefügt worden.

Detailliertere Informationen über den I-Wurm Palyh finden Sie in der Kaspersky Virus Encyclopedia.