«Palyh»: мастер мимикрии a la Microsoft

«Лаборатория Касперского», ведущий российский разработчик систем защиты от вирусов, хакеров и спама, сообщает об обнаружении нового сетевого червя «Palyh», распространяющегося в электронных письмах и ресурсам локальных сетей и маскирующегося под сообщения от службы технической поддержки Microsoft. На данный момент уже зарегистрировано большое количество случаев заражения данной вредоносной программой в разных странах мира.

«Palyh» доставляется на целевой компьютер в виде файла, вложенного в письмо электронной почты или записанного в систему через локальную сеть. Червь активизируется при запуске этого файла-носителя, после чего заражает компьютер и запускает процедуру распространения.

При установке «Palyh» копирует себя под именем «MSCCN32.EXE» в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при старте операционной системы. По причине ошибки, в некоторых случаях «Palyh» копирует себя в другие каталоги и поэтому функция автозапуска иногда не срабатывает.

После этого червь начинает процедуры распространения. Для рассылки по электронной почте он сканирует файлы с расширениями TXT, EML, HTML, HTM, DBX, WAB и выделяет из них строки, похожие на электронные адреса. Затем «Palyh» в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии.

В качестве отправителя все письма червя имеют фальсифицированный адрес (support@microsoft.com), но содержат различные заголовки, тексты и имена вложенных файлов. Следует отметить, что все файлы имеют расширение PIF (например, PASSWORD.PIF), хотя на самом деле являются обычными EXE-файлами. В данном случае «Palyh» использует ложное представление пользователей о безопасности PIF-файлов и недостаток Windows. Как известно, эта операционная система обрабатывает файлы не по расширению, но по внутреннему формату.

Для распространения по локальной сети червь сканирует другие сетевые компьютеры и, если находит на них каталоги автозапуска Windows, записывает туда свою копию.

В целом «Palyh» нельзя назвать опасным. Однако у него есть ряд особенностей, которые представляют собой потенциальную опасность для владельцев зараженных компьютеров. Червь имеет функцию загрузки с удаленных web-серверов дополнительных компонентов. Таким образом, он в состоянии незаметно устанавливать свои более «свежие» версии или внедрять в систему программы-шпионы.

Автор «Palyh» встроил в программу временной триггер: если системная дата зараженного компьютера превосходит 31 мая, то червь автоматически отключает все свои функции за исключением загрузки дополнительных файлов. Эта особенность практически обрекает «Palyh», поскольку web-серверы, откуда он скачивает свои обновления, в ближайшее время будут закрыты.

Защита от данной вредоносной программы уже добавлена в базу данных Антивируса Касперского®.

Более подробная информация о сетевом черве «Palyh» доступна в Вирусной Энциклопедии Касперского.