19/05/03

NOTICIAS

Palyh, se difunde en un supuesto mensaje del centro de soporte de Microsoft


[Económica]
[Seguridad]
[Nuevos Virus]
[Nuevos Productos]
[Otras noticias]

Su peligrosidad radica en el uso que hace de las denominadas técnicas de ingeniería social, ya que el mensaje de correo electrónico en el que llega muestra como remitente la dirección support@microsoft.com

VIRUSPROT.COM ha podido constatar que el nuevo gusano de correo electrónico Palyh del que están alertando en las últimas horas los principales desarrolladores anti-virus ya está difundiéndose en España.

Palyh, también conocido como Sobig.B, Mankx o Emesache (dependiendo del fabricante), es un peligroso código que se difunde en correos electrónicos supuestamente enviados por el departamento de soporte de Microsoft bajo la dirección - support@microsoft.com - o a través de carpetas compartidas bajo sistemas Windows.

En el caso de difundirse vía e-mail, Palyh se enviará utilizando su propio motor SMTP a todas las direcciones localizadas dentro de archivos .TXT, .EML, .HTM*, .DBX y .WAB que se encuentren en el equipo afectado y que almacenará en HNKS.INI en el directorio de Windows.

El asunto del mensaje se selecciona al azar de entre una lista de opciones predeterminada como por ejemplo: Re: My application; Re: Movie; Cool screensaver; o Screensaver. El cuerpo del mensaje por su parte es fijo y muestra el texto: All information is in the attached file, haciendo alusión a un archivo adjunto de nombre variable y entre los que pueden ser: your_details.pif; ref-394755.pif; approved.pif; o password.pif. Sin embargo, debido a un error en el diseño del gusano existe la posibilidad de que el fichero que se reciba muestre la extensión .PI en lugar de .PIF. Estos adjuntos sólo activarán el código original del gusano en caso de que el usuario los ejecute.

Una vez que Palyh se encuentra en el equipo, según indica F-Secure Corporation, Palyh intenta descargar cuatro archivos desde varias páginas web y los ejecuta. Como resultado el gusano es capaz de actualizarse asimismo o instalar otras aplicaciones en el sistema atacado, como troyanos. Además, genera dos entradas en el registro de Windows para asegurar su ejecución cada vez que se reinicie la máquina.

En cuanto a su difusión a través de carpetas compartidas en red, el gusano se copiará en los directorios de inicio de Windows de los ordenadores conectados a la máquina infectada.

Para finalizar, indicar que el gusano, escrito en Visual C++ y con un tamaño de 109 Kb, ha sido diseñado para propagarse únicamente hasta el 31 de mayo según fecha del sistema.


Copyright © VIRUSPROT.COM