Bei seiner Installation kopiert sich Palyh unter dem Namen MSCCN32.EXE in das Windows-Systemverzeichnis und registriert diese Datei dort im Autostart-Schlüssel. Auf diese Weise wird der Wurm beim Start des Betriebssystems in den Speicher des Computers geladen. Aufgrund eines Fehlers kopiert sich Palyh in einigen Fällen in andere Verzeichnisse, weshalb die Autostart-Funktion manchmal nicht funktioniert.
Attachments haben vermeintlich harmlose Datei-Erweiterung PIF
Nach der „Installation“ startet der Wurm seine Verbreitungsprozeduren. Zum Verschicken seiner Kopien per E-Mail sucht er nach Dateien mit den Erweiterungen TXT, EML, HTML, HTM, DBX und WAB und entnimmt ihnen Strings, die E-Mail-Adressen ähneln. Danach stellt Palyh – unter Umgehung des installierten E-Mail-Systems – eine Verbindung zum benutzten SMTP-Server her und verschickt darüber seine Kopien mit der gefälschten Absender-Adresse (support@microsoft.com). Die Betreffzeilen, der Mail-Text und die Namen der angehängten Dateien können von Fall zu Fall unterschiedlich sein. Jedoch haben alle Dateien die Erweiterung PIF (z.B. PASSWORD.PIF), obwohl sie tatsächlich gewöhnliche EXE-Dateien sind. Palyh profitiert von der trügerischen Annahme vieler User, dass PIF-Dateien harmlos seien, und nutzt darüber hinaus eine bekannte Schwäche von Windows aus. Denn das Windows-Betriebssystem bearbeitet Dateien nicht nach ihrer Erweiterung, sondern nach ihrem internen Format. Zur Verbreitung über das lokale Netzwerk durchsucht der Wurm andere ans Netzwerk angeschlossene Computer und speichert dort seine Kopien ab, sofern er die Windows-Autostart-Verzeichnisse finden kann.
Palyh deaktiviert sich selbst
Im Grossen und Ganzen kann Palyh nicht als gefährlich bezeichnet werden. Doch er verfügt über eine ganze Reihe Besonderheiten, die eine potenzielle Gefahr für die Besitzer infizierter Computer darstellen. Der Wurm hat eine Funktion zum Herunterladen zusätzlicher Komponenten von entfernten Web-Servern. Dadurch kann er im infizierten System unbemerkt neuere Versionen oder SpyWare installieren.
Der Autor von Palyh hat eine Funktion in das Programm eingebaut, die zu einem bestimmten Zeitpunkt ausgelöst wird: Erreicht das System-Datum des infizierten Computers den 31. Mai 2003, deaktiviert der Wurm automatisch all seine Funktionen – ausgenommen das Herunterladen zusätzlicher Dateien. Diese Besonderheit besiegelt das Schicksal von Palyh, da alle Web-Server, von denen er seine Updates herunterlädt, bald geschlossen werden.
Schutzverfahren gegen Palyh sind der Antiviren-Datenbank von Kaspersky Anti-Virus bereits hinzugefügt worden.
Ausführlichere Informationen über den I-Wurm Palyh sind zu finden unter http://www.viruslist.com/... .
Weitere Informationen:
Kaspersky Labs
Denis Zenkin
10, Geroyev Panfilovtsev ST
RUS-125363 Moskau
Tel: +7 / 095 / 948 56 50
Fax: +7 / 095 / 948 43 31
E-Mail: denis@kaspersky.com
www.kaspersky.com