|
Die angehängte Datei kann unterschiedliche Namen tragen, hat aber immer die Endung PIF, obwohl es sich um ein Windows-Programm (EXE) handelt. Palyh verschickt sich an Adressen, die er auf dem Rechner aus Dateien mit der Endung TXT, .EML, .HTML, .HTM, .DBX, .WAB extrahiert und in der Datei HNKS.INI sammelt. Falls Ihr Rechner infiziert wurde, können Sie also der INI-Datei eine Liste weiterer Infektionsopfer entnehmen, die Sie warnen sollten.
Der Mass Mailer wurde in C++ geschrieben und verseucht Rechner, wenn in einer infizierten Mail auf den Anhang mit dem Wurm geklickt wird. Im Windowsverzeichnis erscheint er nach der Infektion als Programmdatei mit dem Namen msccn32.exe. Änderungen der Registrierdatenbank sorgen für eine Aktivierung des Wurms bei jedem Windows-Start. Falls die Wurm-Datei aufgrund eines Bugs in anderen Verzeichnissen landet, ist der Wurm nach dem nächsten Neustart des Systems nicht mehr aktiv.
Zu seiner Verbreitung per Mail verlässt der Wurm sich nicht auf das Mailprogramm, sondern stellt eine Direktverbindung zum benutzten SMTP-Server her. Ein weiterer Infektionspfad sind lokale Netze, in denen der Wurm sich in alle Startup-Verzeichnisse zu kopieren versucht.
Palyh gilt in Antivirenkreisen als eher ungefährlich, obwohl er aus dem Web zusätzliche Komponenten herunterladen kann. Allerdings dürften die dazu voreingestellten Webserver in nächster Zeit geschlossen werden.
Die Firma Softwin stellt das 57 KB kleine Gratis-Tool Antipalyh.exe zum Beseitigen des Wurms und seiner Einträge in der Registrierdatenbank bereit.
Weitere Informationen: F-Secure Computer Virus Information Pages: Palyh
|
