Специалисты "Лаборатории Касперского", сообщили об обнаружении нового сетевого червя Palyh, распространяющегося через электронную почту и локальные сети и маскирующегося под сообщения от службы технической поддержки Microsoft. На данный момент уже зарегистрировано большое количество случаев заражения данным вирусом в разных странах мира.

Червь Palyh попадает на компьютер жертвы в виде файла, присоединенного к сообщению электронной почты или скопированного через локальную сеть. Червь активизируется при запуске этого файла-носителя, после чего заражает компьютер и запускает процедуру распространения.

При установке Palyh копирует себя под именем "MSCCN32.EXE" в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при запуске операционной системы. По причине ошибки, в некоторых случаях Palyh копирует себя в другие каталоги, и поэтому функция автозапуска иногда не срабатывает.

После этого червь начинает процедуры распространения. Для рассылки по электронной почте он сканирует файлы с расширениями .TXT, .EML, .HTML, .HTM, .DBX, .WAB и выделяет из них строки, похожие на электронные адреса. Затем Palyh в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии.

В качестве отправителя все письма червя имеют фальсифицированный адрес (support@microsoft.com), но содержат различные заголовки, тексты и имена вложенных файлов. Следует отметить, что все файлы имеют расширение .PIF (например, PASSWORD.PIF), хотя на самом деле являются обычными EXE-файлами. В данном случае Palyh использует ложное представление пользователей о безопасности PIF-файлов и уязвимость Windows: как известно, эта операционная система обрабатывает файлы не по расширению, а по внутреннему формату.

Для распространения по локальной сети червь сканирует другие сетевые компьютеры и, если находит на них каталоги автозапуска Windows, записывает туда свою копию.

В целом вирус Palyh нельзя назвать опасным, утверждают специалисты. Однако у него есть ряд особенностей, которые представляют собой потенциальную опасность для владельцев зараженных компьютеров. Червь имеет функцию загрузки с удаленных веб-серверов дополнительных компонентов. Таким образом, он в состоянии незаметно устанавливать свои более "свежие" версии или внедрять в систему программы-шпионы.

Автор Palyh встроил в программу временной триггер: если системная дата зараженного компьютера превосходит 31 мая, то червь автоматически отключает все свои функции за исключением загрузки дополнительных файлов. Эта особенность практически обрекает Palyh нам вымирание, поскольку веб-серверы, откуда он скачивает свои обновления, в ближайшее время будут закрыты.