I-Wurm Palyh segelt unter Microsofts Flagge

Die Antivirenhersteller warnen vor einem neuen Wurm namens Palyh, der sich als Attachement von E-Mails oder per LAN verbreitet. Der Wurm wird - wie bei dem unlängst verbreiteten Fizzer - beim Starten der angehängten Datei aktiviert.

Schon Fizzer hatte mit der Methode der Benutzerinteraktion Erfolg. Nach Erkenntnis der Antivirenhersteller könnte dies auch bei der Neuentdeckung der Fall sein.

Palyh kopiert sich unter dem Namen MSCCN32.EXE in das Windows-Systemverzeichnis und registriert sich für den "Autostart". Danach verschickt Palyh sich per Mail, indem er in Dateien nach möglichen Adressen durchsucht (TXT, EML, HTML, HTM, DBX und WAB). Palyh stellt dann eine Verbindung zum SMTP-Server her und verschickt sich. Als Absender dient die gefälschte Adresse "support@microsoft.com". Betreffzeilen, Text und Namen des Attachements können variieren, berichtet Kaspersky Labs. Getarnt sind die EXE-Dateien mit der Endung "PIF" (zum Beispiel PASSWORD.PIF). Windows führt die vermeintliche PIF-Datei aber gemäß ihrem internen Format als EXE-Datei aus. Bei der Verbreitung über das Netzwerk sucht Palyh angeschlossene Computer und versucht dort den Autostart-Ordner zu finden.

Der Wurm bringt eine Funktion zum Herunterladen zusätzlicher Komponenten von entfernten Web-Servern mit. Dadurch kann er im infizierten System etwa unbemerkt neuere Versionen oder SpyWare installieren.

Scheinbar bringt Palyh ein Verfallsdatum mit. Am 31. Mai deaktiviert der Wurm laut Kaspersky Labs automatisch seine Funktionen, ausgenommen die Nachlade-Funktion. Da Webserver, von denen er Updates zieht, nach Meinung der Antivirenhersteller ihre Dienste nicht mehr lange anbieten werden, bevor sie geschlossen werden, dürfte Palyh nach diesem Datum nicht länger gefährlich sein. (uba)