Rubrik: Virnewarnung/Aktuelle Meldungen

Sophos: "Palyh"-Wurm taucht als Microsoft-E-Mail auf

Sophos enttarnt einen Wolf im Schafspelz

(20.05.03) - Die Antiviren-Spezialisten von Sophos warnen vor  einem neuen E-Mail-fähigen Wurm, der sich als eine E-Mail vom technischen Support-Team von Microsoft  tarnt. Sophos warnte davor, dass sich der Wurm sehr rasch verbreitet. Der als "Palyh" (W32/Palyh-A) bekannte Wurm gibt vor, von support@microsoft.com verschickt worden zu sein und enthält die Textnachricht, dass sich alle Informationen in der anhängenden Datei befinden.

Anzeige

Diese Datei ist ein Windows-Programm mit einer "PIF"-Erweiterung. Sobald Anwender diesen Anhang  öffnen, infizieren sie sich sofort. W32/Palyh-A  kopiert sich in den Windows-Ordner, sammelt alle  E-Mail-Adressen, die sich auf der Festplatte  befinden, und versendet sich automatisch als E-Mail  an sie.

Palyh-A ist ab dem 31. Mai 2003 nicht mehr funktionstüchtig und verbreitet sich nicht weiter. Bis dahin scheint sich der Wurm durch Network Shares und E-Mails in Umlauf zu bringen. Dies hat zur Folge, dass Unternehmen, die ihre E-Mails durch E-Mail-Scanning-Services wie MessageLabs überwachen lassen, möglicherweise nicht ausreichend geschützt sind. Aus diesem Grund hält es Sophos für ratsam, sowohl das Gateway als auch die Desktops und Server zu sichern. Desktop- und Server-Schutzprogramme dienen als Sicherheitsnetz gegen Viren, die über weniger bewachte Pfade, wie Network Shares, ins Unternehmen gelangen.

"Viele Anwender, die sich vor EXE- und VBS-Dateien in ihrem E-Mail-Eingang vorsehen, sind sich nicht bewusst, dass PIF-Dateien genauso schädlich sein können", erklärte Gernot Hacker, Senior Technical Consultant bei Sophos. "Der technische Support von Microsoft versendet keine Dateien in dieser Form, deshalb sollten Anwender lieber übervorsichtig sein, bevor sie die Datei anklicken."

Sophos rät Unternehmen, alle Windows-Programme an ihrem E-Mail-Gateway zu blocken. Es ist in den seltensten Fällen nötig, Mitarbeitern zu erlauben, Programme per E-Mail zu empfangen. Es gibt wenig zu verlieren, aber viel zu gewinnen, wenn Programme blockiert werden, die via E-Mail ins Haus kommen – egal, ob sie Viren enthalten oder nicht.

"Unternehmen sollten automatisch alle ausführbaren Codes am E-Mail-Gateway abfangen", ergänzte Gernot Hacker. "Zumindest sollte PIF-Dateien der Eintritt ins Unternehmensnetz verwehrt werden. Es gibt normalerweise keinen Grund, authentische PIF-Dateien per E-Mail zu versenden, da sie nur eine Art Shortcut sind."

Weitere Informationen zu W32/Palyh-A und Hinweise, wie man sich vor dem Wurm schützt oder ihn wieder entfernt, gibt es unter: http://www.sophos.de/virusinfo/analyses/w32palyha.html. (ma).

Sophos

Ansprechpartner: Pino v. Kienlin

Tel. (06136) 9119-3, Fax (06136) 9119-40

E-Mail: info@sophos.de

Web: www.sophos.de

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken