News
19.05.2003, 12:00 Uhr
W32/Palyh
Palyh ist ein relativ harmloser, aber sich sehr schnell verbreitender Wurm. Er verschickt sich in E-Mails mit dem Absender «support@microsoft.com».
Dieser Wurm soll gemäss Eset [1] anfänglich in der Slowakei und in Tschechien zu einer grösseren Verbreitung geführt haben. Anschliessend hat er sich in viele andere Länder verbreitet.
Die Mails, mit denen er in der ersten Variante eintrifft, haben diese Kennzeichen:
Ein (gefälschter) Absender wie: support@microsoft.com
Ein Betreff wie:
Re: My application
Re: Movie
Movie
Cool screensaver
Screensaver
Re: My details
Your password
Re: Approved (ref: 3394-65467)
Approved (Ref: 38446-263)
Your details
Ein Mail-Text wie:
"All information is in the attached file."
Die Wurm-Beilagen könnten in dieser ersten bekannten Variante einen dieser Namen tragen:
application.pif
movie28.pif
screen_doc.pif
screen_temp.pif
doc_details.pif
password.pif
approved.pif
ref-394755.pif
your_details.pif
Wenn der unvorsichtige Empfänger die Wurm-Beilage ausführt, kopiert sich der Schädling unter dem Dateinamen msccn32.exe in den Windows-Ordner. Diese Datei trägt er in diese beiden Registry-Zweige ein:
HKey_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run
Der Eintrag lautet so:
"SystemTray": (Windows-Ordner)\msccn32.exe
Palyh versucht sich auch über lokale Netzwerk zu verbreiten und trägt sich bisweilen auch in den Windows Autostart-Ordner ein, den Sie per "Start/Programme/Autostart" oder "Start/Autostart" erreichen.
Die Adressen, an die sich der Wurm mit den eingangs erwähnten Eigenschaften verbreitet, bezieht er aus Dateien mit den Endungen TXT, EML, HTML, HTM, DBX und WAB, die er auf dem infizierten PC findet. Die gefundenen Adressen speichert Palyh in einer Datei namens hnks.ini, die er im Windows-Ordner anlegt.
Besonderen Schaden verursacht diese erste Variante des Palyh-Wurms nicht. Allerdings kann er von vier verschiedenen Webseiten Updates herunterladen, die ihn zum Beispiel mit Spionage-Funktionen versehen könnten.
Um den Wurm zu entfernen, löschen Sie seine Einträge in der Windows-Registry und im Autostart (sofern vorhanden). Beenden Sie via Taskmanager (Ctrl+Alt+Delete) seinen Prozess. Scannen Sie die Festplatte mit einem frisch aktualisierten Virenscanner und lassen Sie die als infiziert gemeldeten Dateien löschen.
Die meisten Antivirus-Hersteller haben Updates bereitgestellt, mit denen sich der Wurm erkennen und beseitigen lässt. Bei Kaspersky ist er als I-Worm.Palyh bekannt [2], F-Secure nennt ihn schlicht Palyh [3], McAfee führt ihn unter der Bezeichnung W32/Palyh@MM [4], Sophos unter W32/Palyh-A [5] und Symantec taufte den Wurm gar W32.HLLW.Mankx@mm [6].
Kommentare
Es sind keine Kommentare vorhanden.