Neuer Wurm verbreitet sich mit gefälschter MS-Mailadresse

Schädling versendet sich auch ohne Outlook

Kaspersky Labs warnt vor einem neuen Internet-Wurm namens Palyh, der sich als Mitteilung des technischen Supports von Microsoft tarnt. Die schädliche Datei gelange als E-Mail-Attachments oder über das jeweilige lokale Netzwerk auf den Computer. „Bis jetzt sind bereits zahlreiche Meldungen von Infizierungen durch diese Malware aus verschiedenen Ländern eingegangen“, so die Virenexperten aus Russland.

Palyh kopiere sich unter dem Namen MSCCN32.EXE in das Windows-Systemverzeichnis und registriere diese Datei dort im Autostart-Schlüssel. Die Folge: Der Wurm wird beim Start des Betriebssystems in den Speicher des Computers geladen. Aufgrund eines Fehlers kopiert sich Palyh in einigen Fällen in andere Verzeichnisse, weshalb die Autostart-Funktion manchmal nicht funktioniere.

Nach der Installation starte der Wurm seine Verbreitungsprozeduren. Zum Verschicken seiner Kopien per E-Mail suche er nach Dateien mit den Erweiterungen TXT, EML, HTML, HTM, DBX und WAB und entnehmen ihnen die Strings, die E-Mail-Adressen ähneln. Danach stelle Palyh — unter Umgehung des installierten E-Mail-Systems — eine Verbindung zum benutzten SMTP-Server her und verschicke darüber seine Kopien mit der gefälschten Absender-Adresse (support@microsoft.com).

Die Betreffzeilen und der Mail-Text sowie die Namen der angehängten Dateien variiierten, allerdings hätten alle Dateien die Erweiterung PIF. Es handelt sich jedoch um gewöhnliche „.exe“-Dateien. Palyh profitiert also von der trügerischen Annahme vieler User, dass „.pif“-Dateien harmlos seien. Das Windows-Betriebssystem bearbeitet Dateien nicht nach ihrer Erweiterung, sondern nach ihrem internen Format. Zur Verbreitung über das lokale Netzwerk durchsucht der Wurm andere ans Netzwerk angeschlossene Computer und speichert dort seine Kopien ab, sofern er die Windows-Autostart-Verzeichnisse finden kann.

Laut Kaspersky hat der Autor von Palyh eine Funktion in das Programm eingebaut, die zu einem bestimmten Zeitpunkt ausgelöst wird: Erreicht das System-Datum des infizierten Computers den 31. Mai 2003, deaktiviere der Wurm automatisch all seine Funktionen — ausgenommen das Herunterladen zusätzlicher Dateien. Diese Besonderheit besiegelt das Schicksal von Palyh, da alle Web-Server, von denen er seine Updates herunterlädt, bald geschlossen werden.

ZDNet offeriert ein Viren-Center mit aktuellen Informationen rund um die Gefahr aus dem Cyberspace, eine umfassende Sammlung aktueller und einen kostenlosem Live-Viren-Check. Der Online Scanner durchforstet Dateien bis zu einer Größe von einem MByte nach diversen Schädlingen.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

3 Kommentare zu Neuer Wurm verbreitet sich mit gefälschter MS-Mailadresse

Kommentar hinzufügen
  • Am 19. Mai 2003 um 13:25 von poodl

    MS Mails?
    Seit wann verschickt MS mails? Also kanns nur ein Virus sein.

  • Am 19. Mai 2003 um 18:21 von Peter Wermke

    Mails von Microsoft
    Warum sollte Microsoft keine Mails versenden? Wer ein Hotmail-Konto hat, erhält pro Woche mindestens eins – wenn auch meist vollgepackt mit Werbung. Allerdings erkennt man "echte" Mails von Microsoft an einem Schmetterlings-Symbol – zumindest im Posteingang bei Hotmail!

  • Am 19. Mai 2003 um 20:19 von Spavi

    Gefahr erkannt – Gefahr gebannt
    Ich habe den Wurm schon heute bekommen. Absender: support@microsoft.com. Egal, SPAVI hat ihn sofort erkannt (und zwar ohne ihn je vorher gesehen zu haben – einfach an der Verpackungsmethode) und gleich zum Löschen markiert.<br />
    <br />
    http://www.spavi.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *