Május 18-án bukkantak rá az AVERT kutatói a jelenleg közepes (medium) veszélyességűnek minősített internetes levelező programféregre, melynek mérete mintegy 50 KB. A W32/Sobig@MM nevű programféregre erősen hasonlító kártevőt MS Visual C-ben írták, és az UPX nevű EXE-tömörítővel zsugorították össze.
A Palyh elsősorban e-mail mellékletekben terjed, de a fertőzött gépről már megosztott könyvtárakon keresztül is képes további gépeket megfertőzni. A féreg saját SMTP motorját használva készíti elő a kiküldendő fertőzést hordozó leveleket. Az ezekhez szükséges címeket a fertőzött gépekről gyűjti össze az ott található WAB, DBX, HTM, HTML, EML és TXT fájlokból.
A fertőzést hordozó levelek közös jellemzője, hogy látszólag a support@microsoft.com címről érkeznek, és a Tárgy (Subject) rovatban az alábbiak valamelyike szerepel: „Re: My application”, „Re: Movie”, „Cool screensaver”, „Screensavers”, „Re: My details”, “Your password”, „Re: Approved (Red. 3394-65467)”, „Approved (Ref. 38446-263)” vagy „Your details”. A fertőzést hordozó levelek szövegteste ismét közös: „All information is in the attached file.”
A W32/Sobig-hoz hasonlóan a Palyh is .PIF kiterjesztéssel csatolja a féregprogram kódját a levélhez, de ez olykor csonkul, és .PI lesz belőle.
A féreg a helyi hálózaton keresztül is terjed. Miután a fertőzött gépen vezérléshez jut, megkísérli bemásolni a féregprogramot a Windows könyvtárába – ennek helyét a %windir% változóból olvassa ki – msccn32.exe néven (ez egy mintegy 50 kB méretű fájl, maga a féregprogram). Mellé készít még két konfigurációs fájlt is hnks.ini és mdbrr.ini néven. Hogy minden rendszerindításkor vezérléshez juthasson, a féreg linkeket helyez el a „Documents and SettingsAll UsersStart MenuProgramsStartup” és a „WindowsAll UsersStart MenuProgramsStartup” folderekben, valamint a Registry-ben is két helyen. Egy-egy
“System Tray” = %WinDir%msccn32.exe
bejegyzést készít a HKCUSoftwareMicrosoftWindowsCurrentVersionRun és a HKLMSoftwareMicrosoftWindowsCurrentVersionRun kulcs alatt.
A féreg további jellemzője, hogy tartalmaz egy olyan rutint, amely kiolvassa a rendszerdátumot és időt. Amennyiben ez 2003. május 31. vagy egy későbbi dátum, a féreg nem postázza szét tovább magát, bár a megfertőzött gépre azért betelepszik.
Az AVERT webhelyén a Palyh részletes angol ismertetője és az eltávolításához szükséges EXTRA.DAT file is megtalálható a vil.nai.com/vil/content/v_100307.htm címen. A május 18. óta ismert féreg azonosításához szükséges adatok a 4265-ös DAT fájlokba kerültek be. A gyanús mintákat az AVERT www.webimmune.net weboldalán várják.
Az AVERT Kutató Központról:
A McAfee AVERT (Anti-Virus Emergency Response Team) a világ egyik vezető vírusirtó kutatószervezete, mely 16 országban foglalkoztat kutatókat. Alapvető feladata a számítógéphasználók és a Network Associates ügyfelek támogatása. A legújabb fenyegetések kutatásával elősegíti, hogy a felhasználók nagyobb biztonságban dolgozhassanak. Az AVERT célja nem a félelemkeltés, hanem a tanácsadás és a figyelemfelhívás.
A McAfee Security-ről:
A McAfee Security a Network Associates üzletága, amely a vállalatokat biztonsági rések, vírustámadások és vegyes fenyegetések ellen védi. A McAfee Security átfogó hálózati védelmet kínál vírusirtó, kódolási, desktop tűzfal, behatolás érzékelő, sérülékenység elemző és menedzselt biztonsági technológiák segítségével.
További információ a McAfee Security termékekről: http://www.mcafeesecurity.com.
A Network Associates termékei régóta ismertek és használatosak Magyarországon. 2000 óta a Network Associates képviseleti irodát tart fenn hazánkban.
Megjegyzés: a Network Associates, a Sniffer, a McAfee a Magic Solutions és az AVERT a Network Associates, Inc. és/vagy vállalatai bejegyzett védjegyei az Egyesült Államokban és/vagy más országokban. Az összes többi bejegyzett vagy be nem jegyzett védjegy ebben a közleményben a megfelelő birtokosok kizárólagos tulajdona.
—
PR ügynökség:
Szezám Kommunikációs Kft.
Ügyvezető: dr. Szekfű András
Tel: 438-0650
Fax: 315-1983
szezam@szezam.hu
