Neuer Wurm tarnt sich als E-Mail von Microsoft

Seit dem Wochenende verbreitet sich ein neuer Wurm namens W32/Palyh-A, der auch "Mankx" genannt wird, per E-Mail und über lokale Netzwerke. Dabei trägt der Wurm die fingierte E-Mail-Adresse "support@microsoft.com", um so den Empfänger zu täuschen.

W32/Palyh-A kann sowohl den Text der E-Mail, als auch die Betreffzeile und den Namen der angehängten Datei variieren. Die Dateiendung ist jedenfalls immer .PIF, hinter der sich eine EXE-Datei verbirgt. Aktiviert wird der Wurm durch einen Doppelklick auf die angehängte Datei.

Sobald der Wurm aktiviert wurde, kopiert er sich unter dem Namen MSCCN32.EXE in das Windows-Systemverzeichnis und registriert einen AutoStart-Eintrag. Wenn Windows gestartet wird, dann wird auch der Wurm in den Arbeitsspeicher geladen. Manchmal scheitert diese Prozedur, weil sich der Wurm in ein falsches Verzeichnis kopiert hat.

Um sich zu verbreiten, durchsucht W32/Palyh-A Dateien mit den Endungen TXT, EML, HTML, HTM, DBX und WAB nach E-Mail-Adressen und verschickt sich selbst mit einem eigenen SMTP-Server. In einem lokalen Netzwerk sucht der Wurm nach angeschlossenen Computern und installiert eine Kopie auf diesen. Durch diese Aktivitäten kann es zu Beeinträchtigungen der Netzwerkleistung kommen, ein direkter Schaden entsteht jedoch nicht.

Eine auffällige Besonderheit des Wurms ist eine Routine, welche die meisten Funktionen des Wurms am 31.Mai automatisch deaktiviert. Damit dürfte sich die Ausbreitung des Wurms beschränken. Lediglich die Funktion, mit welcher der Wurm Dateien auf den infizierten Computer laden und installieren kann, wird nicht deaktiviert.

Trotz der einfachen Verbreitungsmethode vermelden die Hersteller von Antivirus-Software zahlreiche befallene System in verschiedenen Ländern. Doch mittlerweile wird W32/Palyh-A von allen gängigen Virenscanner erkannt und unschädlich gemacht.

20.05.2003 0