Neuer Wurm verbreitet sich mit gefälschter MS-Mailadresse

Kaspersky Labs warnt vor einem neuen Internet-Wurm namens Palyh, der sich als Mitteilung des technischen Supports von Microsoft tarnt. Die schädliche Datei gelange als E-Mail-Attachments oder über das jeweilige lokale Netzwerk auf den Computer. „Bis jetzt sind bereits zahlreiche Meldungen von Infizierungen durch diese Malware aus verschiedenen Ländern eingegangen“, so die Virenexperten aus Russland.

Palyh kopiere sich unter dem Namen MSCCN32.EXE in das Windows-Systemverzeichnis und registriere diese Datei dort im Autostart-Schlüssel. Die Folge: Der Wurm wird beim Start des Betriebssystems in den Speicher des Computers geladen. Aufgrund eines Fehlers kopiert sich Palyh in einigen Fällen in andere Verzeichnisse, weshalb die Autostart-Funktion manchmal nicht funktioniere.

Nach der Installation starte der Wurm seine Verbreitungsprozeduren. Zum Verschicken seiner Kopien per E-Mail suche er nach Dateien mit den Erweiterungen TXT, EML, HTML, HTM, DBX und WAB und entnehmen ihnen die Strings, die E-Mail-Adressen ähneln. Danach stelle Palyh — unter Umgehung des installierten E-Mail-Systems — eine Verbindung zum benutzten SMTP-Server her und verschicke darüber seine Kopien mit der gefälschten Absender-Adresse (support@microsoft.com).

Die Betreffzeilen und der Mail-Text sowie die Namen der angehängten Dateien variiierten, allerdings hätten alle Dateien die Erweiterung PIF. Es handelt sich jedoch um gewöhnliche „.exe“-Dateien. Palyh profitiert also von der trügerischen Annahme vieler User, dass „.pif“-Dateien harmlos seien. Das Windows-Betriebssystem bearbeitet Dateien nicht nach ihrer Erweiterung, sondern nach ihrem internen Format. Zur Verbreitung über das lokale Netzwerk durchsucht der Wurm andere ans Netzwerk angeschlossene Computer und speichert dort seine Kopien ab, sofern er die Windows-Autostart-Verzeichnisse finden kann.

Laut Kaspersky hat der Autor von Palyh eine Funktion in das Programm eingebaut, die zu einem bestimmten Zeitpunkt ausgelöst wird: Erreicht das System-Datum des infizierten Computers den 31. Mai 2003, deaktiviere der Wurm automatisch all seine Funktionen — ausgenommen das Herunterladen zusätzlicher Dateien. Diese Besonderheit besiegelt das Schicksal von Palyh, da alle Web-Server, von denen er seine Updates herunterlädt, bald geschlossen werden.

ZDNet offeriert ein Viren-Center mit aktuellen Informationen rund um die Gefahr aus dem Cyberspace, eine umfassende Sammlung aktueller und einen kostenlosem Live-Viren-Check. Der Online Scanner durchforstet Dateien bis zu einer Größe von einem MByte nach diversen Schädlingen.