A support@microsoft.com címről érkezik az új féreg

[CNET, HWSW] Újabb tömegesen terjedő e-mailféreg bukkant fel a világhálón. A Palyh néven ismertté vált kártevő olyan üzenetekben terjed, melyek látszólag a Microsoft terméktámogatástól érkeznek. A féreg önmagában nem okoz kárt a számítógépeken, de lehetővé teszi további, akár kártékony komponensek telepítését is.

A Network Associates AVERT központjának közleménye szerint a Palyh elsősorban e-mailek mellékletében terjed, de a fertőzött gépről már megosztott könyvtárakon keresztül is képes további gépeket megfertőzni. A féreg saját SMTP motorját használva készíti elő a kiküldendő fertőzést hordozó leveleket. Az ezekhez szükséges címeket a fertőzött gépekről gyűjti össze az ott található WAB, DBX, HTM, HTML, EML és TXT fájlokból.

A fertőzést hordozó levelek közös jellemzője, hogy látszólag a support@microsoft.com címről érkeznek, és a Tárgy (Subject) rovatban az alábbiak valamelyike szerepel:

Re: My application
Re: Movie
Cool screensaver
Screensavers
Re: My details
Your password 
Re: Approved (Red. 3394-65467)
Approved (Ref. 38446-263)
Your details

A fertőzést hordozó levelek szövegteste ismét közös: "All information is in the attached file."

A féreg a helyi hálózaton keresztül is terjed. Miután a fertőzött gépen vezérléshez jut, megkísérli bemásolni a féregprogramot a Windows könyvtárába, és módosítva a beállításokat biztosítja, hogy az minden rendszerinduláskor aktiválódjon. A Palyh önmagában nem okoz kárt a számítógépeken, de képes frissíteni önmagát, így akár kártékony alkalmazásokat is telepíthet a rendszerre.

A féreg különlegessége, hogy május 31-e után a frissítés funkció kivételével deaktiválja önmagát, így -- noha a megfertőzött rendszeren tovább él -- nem küldi tovább magát. Minthogy azt a szervert, melyről a frissítéseket tölti le, hamarosan lekapcsolják, az időkorlát feltehetően a Palyh karrierjének végét is jelenti.