“Лаборатория Касперского” сообщила о том, что в последнее время в мире зарегистрировано большое количество случаев заражения ПК сетевым червем, получившим название Palyh. Он маскируется под сообщения от службы технической поддержки Microsoft и распространяется через электронные письма и ресурсы локальных сетей.
Червь активизируется при запуске файла-носителя, после чего копирует себя под именем MSCCN32.EXE в каталог Windows и регистрирует эту программу в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при старте операционной системы. Из-за ошибки в коде в некоторых случаях Palyh копирует себя в другие каталоги и поэтому функция автозапуска иногда не срабатывает.
Для саморазмножения по электронной почте червь сканирует файлы с расширениями TXT, EML, HTML, HTM, DBX, WAB и выделяет из них строки, похожие на электронные адреса. Затем он в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии.
В качестве отправителя все письма червя имеют фальсифицированный адрес support@microsoft.com, но содержат различные заголовки, тексты и имена вложенных файлов. Следует отметить, что все файлы-приложения имеют расширение PIF (например, PASSWORD.PIF), хотя на самом деле являются обычными EXE-файлами. В данном случае Palyh использует ложное представление пользователей о безопасности PIF-файлов.
Для распространения по локальной сети червь сканирует другие сетевые компьютеры и, если находит на них каталоги автозапуска Windows, записывает туда свою копию. В целом Palyh нельзя назвать особо вредным.
Однако у него есть ряд особенностей, которые представляют собой потенциальную опасность для владельцев зараженных компьютеров. Червь имеет функцию загрузки с удаленных Web-серверов дополнительных компонентов. Таким образом, он в состоянии незаметно устанавливать свои более свежие версии или внедрять в систему программы-шпионы.
В. М.