Специалисты "Лаборатории Касперского" обнаружили новый сетевой червь. Вредоносная программа, получившая название Palyh, распространяется при помощи электронных писем и ресурсов локальных сетей. Чтобы обмануть доверчивых пользователей, Palyh маскируется под сообщения службы технической поддержки Microsoft. "Лаборатория Касперского" сообщает, что к настоящему моменту зарегистрировано большое количество случаев заражений в разных странах мира.
Palyh попадает к жертве в виде файла, вложенного в письмо электронной почты или занесенного в систему через локальную сеть. Червь активизируется при запуске заражённого файла-носителя, после чего заражает компьютер и запускает процедуру распространения. При установке Palyh копирует себя под именем "MSCCN32.EXE" в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Для рассылки по электронной почте он сканирует файлы с расширениями TXT, EML, HTML, HTM, DBX, WAB и выделяет из них строки, похожие на электронные адреса. Затем "Palyh" в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии. В качестве отправителя все письма червя имеют фальсифицированный адрес (support@microsoft.com), но содержат различные заголовки, тексты и имена вложенных файлов. Для распространения по локальной сети червь сканирует другие сетевые компьютеры и, если находит на них каталоги автозапуска Windows, записывает туда свою копию.
Все файлы имеют расширение PIF (например, PASSWORD.PIF), хотя на самом деле являются обычными EXE-файлами. "В данном случае "Palyh" использует ложное представление пользователей о безопасности PIF-файлов и недостаток Windows, - говорится в пресс-релизе компании. - Как известно, эта операционная система обрабатывает файлы не по расширению, но по внутреннему формату".
В "Лаборатории Касперского" не склонны преувеличивать опасность Palyh, хотя и отмечают, что ряд его особенностей, представляют собой потенциальную угрозу для владельцев зараженных компьютеров. Червь имеет функцию загрузки с удаленных веб-серверов дополнительных компонентов. Это позволяет ему незаметно устанавливать свои более "свежие" версии или внедрять в систему программы-шпионы.
31 мая - последний день жизни червя в современном виде. В этот день сработает встроенный в Palyh временной триггер, и все функции программы отключатся. При этом он будет продолжать попытки скачать свои обновлённые версии.