"Лаборатория Касперского" сообщает об обнаружении нового сетевого червя Palyh, распространяющегося по электронной почте и локальным сетям. Отличительная черта вируса состоит в том, что он маскируется под сообщения от службы технической поддержки Microsoft.

Такая техника "социальной инженерии" себя оправдывает: на данный момент уже зарегистрировано большое количество случаев заражения данной вредоносной программой в разных странах мира.

Palyh доставляется на целевой компьютер в виде файла, вложенного в письмо электронной почты или записанного в систему через локальную сеть.

Червь активизируется при запуске этого файла-носителя, после чего заражает компьютер и запускает процедуру распространения.

При установке Palyh копирует себя под именем MSCCN32.EXE в каталог Windows и регистрирует этот файл в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при каждом старте операционной системы. По причине ошибки в коде, в некоторых случаях Palyh копирует себя в другие каталоги и поэтому функция автозапуска иногда не срабатывает.

После этого червь начинает процедуры распространения. Для рассылки по электронной почте он сканирует файлы с расширениями TXT, EML, HTML, HTM, DBX, WAB и выделяет из них строки, похожие на электронные адреса.

Затем Palyh в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии. В поле "From/От" все письма червя имеют фальсифицированный адрес (support@microsoft.com).

В целом Palyh нельзя назвать опасным. Однако у него есть ряд особенностей, которые представляют собой потенциальную опасность для владельцев зараженных компьютеров. Червь имеет функцию загрузки с удаленных веб-серверов дополнительных компонентов. Таким образом, он в состоянии незаметно устанавливать свои более "свежие" версии или внедрять в систему программы-шпионы.

Автор Palyh встроил в программу временной ограничитель: если системная дата зараженного компьютера превосходит 31 мая, то червь автоматически отключает все свои функции за исключением загрузки дополнительных файлов. Эта особенность практически обрекает Palyh, поскольку серверы, откуда он скачивает свои обновления в ближайшее время будут закрыты, пишет "Компьюлента".

korrespondent