W32/Palyh

Dieser Wurm soll gemäss Eset [1] anfänglich in der Slowakei und in Tschechien zu einer grösseren Verbreitung geführt haben. Anschliessend hat er sich in viele andere Länder verbreitet.

Die Mails, mit denen er in der ersten Variante eintrifft, haben diese Kennzeichen:

Ein (gefälschter) Absender wie: support@microsoft.com

Ein Betreff wie:

Re: My application

Re: Movie

Movie

Cool screensaver

Screensaver

Re: My details

Your password

Re: Approved (ref: 3394-65467)

Approved (Ref: 38446-263)

Your details

Ein Mail-Text wie:

"All information is in the attached file."

Die Wurm-Beilagen könnten in dieser ersten bekannten Variante einen dieser Namen tragen:

application.pif

movie28.pif

screen_doc.pif

screen_temp.pif

doc_details.pif

password.pif

approved.pif

ref-394755.pif

your_details.pif

Wenn der unvorsichtige Empfänger die Wurm-Beilage ausführt, kopiert sich der Schädling unter dem Dateinamen msccn32.exe in den Windows-Ordner. Diese Datei trägt er in diese beiden Registry-Zweige ein:

HKey_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run

Der Eintrag lautet so:

"SystemTray": (Windows-Ordner)\msccn32.exe

Palyh versucht sich auch über lokale Netzwerk zu verbreiten und trägt sich bisweilen auch in den Windows Autostart-Ordner ein, den Sie per "Start/Programme/Autostart" oder "Start/Autostart" erreichen.

Die Adressen, an die sich der Wurm mit den eingangs erwähnten Eigenschaften verbreitet, bezieht er aus Dateien mit den Endungen TXT, EML, HTML, HTM, DBX und WAB, die er auf dem infizierten PC findet. Die gefundenen Adressen speichert Palyh in einer Datei namens hnks.ini, die er im Windows-Ordner anlegt.

Besonderen Schaden verursacht diese erste Variante des Palyh-Wurms nicht. Allerdings kann er von vier verschiedenen Webseiten Updates herunterladen, die ihn zum Beispiel mit Spionage-Funktionen versehen könnten.

Um den Wurm zu entfernen, löschen Sie seine Einträge in der Windows-Registry und im Autostart (sofern vorhanden). Beenden Sie via Taskmanager (Ctrl+Alt+Delete) seinen Prozess. Scannen Sie die Festplatte mit einem frisch aktualisierten Virenscanner und lassen Sie die als infiziert gemeldeten Dateien löschen.

Die meisten Antivirus-Hersteller haben Updates bereitgestellt, mit denen sich der Wurm erkennen und beseitigen lässt. Bei Kaspersky ist er als I-Worm.Palyh bekannt [2], F-Secure nennt ihn schlicht Palyh [3], McAfee führt ihn unter der Bezeichnung W32/Palyh@MM [4], Sophos unter W32/Palyh-A [5] und Symantec taufte den Wurm gar W32.HLLW.Mankx@mm [6].