|
|
Rubrik: Virenwarnung/Aktuelle Meldungen IKARUS: Information über ein neues E-Mail-Virus "Palyh" nützt keine Sicherheitslücke und kann nur durch Doppelklick (20.05.03) - Der Wurm kommt per E-Mail-Attachment und hat die Größe von 50K bis 52K. I-Worm "Palyh" nützt keine Sicherheitslücke und kann deshalb nur durch einen Doppelklick des Anwenders aktiviert werden. Allerdings verfügt der Wurm über eigene Routinen über die er sich versenden kann und ist nicht auf die Existenz von MS Outlook oder Outlook-Express angewiesen.
Anzeige
Die E-Mail ist variabel und
setzt sich wie viele andere Viren aus folgenden Teilen zusammen: Von: support@microsoft.com Subject: Re: My application Re: Movie Cool screensaver Screensaver Re: My details Your password Re: Approved (Ref: 3394-65467) Approved (Ref: 38446-263) Your details Text: All information is in the attached file. Attachment your_details.pif ref-394755.pif approved.pif password.pif doc_details.pif screen_temp.pif screen_doc.pif movie28.pif application.pif Die Empfängeradressen liest der Wurm aus .TXT, .EML, .HTML, .HTM, .DBX, .WAB Dateien vom infizierten Rechner und versendet sich an diese. Wird der I-Worm.Palyh
aktiviert, kopiert er sich in das Windows Verzeichnis und legt in der
Registry folgende Einträge an: HKCU/Software/Microsoft/Windows/CurrentVersion/Run System Tray = %WindowsDir%/msccn32.exe HKLM/Software/Microsoft/Windows/CurrentVersion/Run System Tray = %WindowsDir%/msccn32.exe Im Windows-Verzeichnis legt der Wurm die Datei "hnks.ini" an wo alle gefundenen E-Mail-Adressen eingetragen werden. Sollten Sie diese Datei auf Ihrem PC finden, so können Sie auch sofort ersehen, an wenn sich der Wurm von Ihrem Rechner aus verschickt hat. Die Datei "mdbrr.ini" im gleichen Verzeichnis beinhaltet die Konfiguration des Wurmes. I-Worm.Palyh verbreitet sich auch über Netzwerke und
kopiert sich in die Ordner:
·
Windows/All
Users/Start Menu/Programs/StartUp/
·
Documents
and Settings/All Users/Start Menu/Programs/Startup/ Wie I-Worm.Fizzer beinhaltet auch dieser Wurm eine Updatefunktion von einer Web-Seite. Diese funktioniert aber nur bis 31. Mai. Tip vom Virendoktor: Microsoft verschickt grundsätzlich keine Executables per eMail über die Adresse support@microsoft.com!! Wir empfehlen mit Nachdruck keine Attachments mit der Endung EXE , COM, BAT, SCR und PIF zu starten, von denen nicht sicher gestellt ist, welche Aktionen sie tatsächlich auslösen. Das Virus kann auch relativ einfach dadurch vermieden werden in dem PIF und SCR Datei by Default direkt am Gateway geblockt werden. Stehen Sie JEDEM ausführbaren Dateianhang kritisch gegenüber! Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments, ohne diese vorher auf Viren geprüft zu haben. Aktivieren Sie wenn möglich einen E-Mail-Filter, der Attachments, die Executables enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt. Ein Update Ihres Virenschutzprogammes ist empfehlenswert. (ma) IKARUS Software GmbH Fillgradergasse
7, A-1060 Vienna Kontakt:
Sonja Judith Fink Tel. (0043-1) 58995-121, Fax (0043-1) 58995-100 E-Mail: fink.s@ikarus.at |
