GUSANO

Palyh

Índice

Alias: Sobig.B, Mankx o Emesache

Palyh, también conocido como Sobig.B, Mankx o Emesache (dependiendo del fabricante), aparecido el 19 de mayo de 2003 es un peligroso código que se difunde en correos electrónicos supuestamente enviados por el departamento de soporte de Microsoft bajo la dirección - support@microsoft.com - o a través de carpetas compartidas bajo sistemas Windows.

En el caso de difundirse vía e-mail, Palyh se enviará utilizando su propio motor SMTP a todas las direcciones localizadas dentro de archivos .TXT, .EML, .HTM*, .DBX y .WAB que se encuentren en el equipo afectado y que almacenará en HNKS.INI en el directorio de Windows.

El asunto del mensaje se selecciona al azar de entre una lista de opciones predeterminada como por ejemplo: Re: My application; Re: Movie; Cool screensaver; o Screensaver. El cuerpo del mensaje por su parte es fijo y muestra el texto: All information is in the attached file, haciendo alusión a un archivo adjunto de nombre variable y entre los que pueden ser: your_details.pif; ref-394755.pif; approved.pif; o password.pif. Sin embargo, debido a un error en el diseño del gusano existe la posibilidad de que el fichero que se reciba muestre la extensión .PI en lugar de .PIF. Estos adjuntos sólo activarán el código original del gusano en caso de que el usuario los ejecute.

Una vez que Palyh se encuentra en el equipo, según indica F-Secure Corporation, Palyh intenta descargar cuatro archivos desde varias páginas web y los ejecuta. Como resultado el gusano es capaz de actualizarse asimismo o instalar otras aplicaciones en el sistema atacado, como troyanos. Además, genera dos entradas en el registro de Windows para asegurar su ejecución cada vez que se reinicie la máquina.

En cuanto a su difusión a través de carpetas compartidas en red, el gusano se copiará en los directorios de inicio de Windows de los ordenadores conectados a la máquina infectada.

Para finalizar, indicar que el gusano, escrito en Visual C++ y con un tamaño de 109 Kb, ha sido diseñado para propagarse únicamente hasta el 31 de mayo según fecha del sistema.


Copyright © VIRUSPROT.COM