Mária
-6 °C
-2 °C

Microsoftos címet hamisít a vírus

2003.05.20. 10:46
Úgy tűnik, újabb jelentkező próbálja letaszítani trónjáról a tavaly hatalmas karriert befutott Klez féregvírust, bár azt még nem tudni, hogy a Palyh a "minden idők legnagyobb vírusa" vagy a "legidegesítőbb féreg" címre hajt.
A Palyh (polgári nevén W32.HLLW.Mankx@mm) vírus a levél feladójaként fortélyos módon mindig a support@microsoft.com emailcímet adja meg, az üzenethez csatolt fájl .pif vagy .pi kiterjesztést szimulál, a valóságban azonban egy .exe fájl. A levél szövege: "All information is in the attached file." A vírus többféle témamegjelöléssel érkezhet, ezek itt jobbra, keretben olvashatók.

Minden címre eljut

A Palyh a következő tárgymegjelölésekkel érkezhet:
Approved (Ref: 38446-263)
Your password
Re: Movie
Re: My application
Screensaver
Cool screensaver
Your details
Re: My details

A Symantec hétfőn 2-esről 3-as kategóriájúvá minősítette át a levéláradatot okozó féregvírust. A cég veszélyességi skáláján a szinte pontosan egy évvel ezelőtt elterjedt Klez.H is ezt a fokozatot érdemelte ki.

A féregvírus a Windows 95/98, Windows NT, Windows 2000, Windows XP és Windows ME operációs rendszerekre jelent veszélyt. A fertőzés után a Palyh MSCCN32.exe néven a Windows könyvtárba másolja magát, és saját SMTP szerverével továbbítja magát a gépen talált .txt, .eml, .html, .htm, .dbx és .wab kiterjesztésű fájlokban szereplő emailcímekre. A registrybe írt kód révén rendszerindításkor automatikusan betöltődik a vírus is. A programkódban egyébként találhatók hibák, ezért megeshet, hogy a féreg véletlenül másik könyvtárba másolja magát, így az automata indítási funkció sem működik.

Hónap végén leáll

A szombaton felfedezett vírus valószínűleg Hollandiából indult útjára, de MessageLabs adatai szerint a hétfőn elterjedt emailek 60 százaléka már Nagy-Britanniából származott, írta a News.com. A cég szerverei hétfőn több mint 34 ezer fertőzött levelet szűrtek ki, ez azt jelenti, hogy minden 264-edik levél vírusos volt. A második legfertőzöttebb ország az Egyesült Államok.

Maga a vírus egyébként nem veszélyes, azonban bármikor letölthet egyéb komponenseket egy megadott szerverről. Ezáltal könnyen kibélelheti a rendszert trójai programokkal vagy kémprogramokkal, illetve bármikor frissítheti magát, figyelmeztetett a Kaspersky Labs.

Furcsa módon a vírus május 31-én deaktiválja magát, egyedül a frissítési funkció marad működőképes. Ezt azonban remélhetőleg nem tudja majd kihasználni, mivel addigra várhatóan lekapcsolják a frissítéseket tároló szervert.