Nowy wirus
W32/Palyh jest bardzo groźnym i szybko rozprzestrzeniającym się robakiem. Co dwie godziny łączy się on z czterema witrynami w domenie geocities.com, skąd pobiera i uruchamia pliki tekstowe zawierające adresy stron o treści pornograficznej.
Wirus rozprzestrzenia się za pomocą poczty elektronicznej oraz w obrębie sieci lokalnych. Wiadomość przenosząca infekcję jest stosunkowo łatwa do identyfikacji, podszywa się bowiem pod list od Microsoftu, a jako adres nadawcy pojawia się zawsze support@microsoft.com. Tekst brzmi: "All information is in the attached file."
Po otwarciu zalacznika następuje aktywacja wirusa, który natychmiast przeszukuje komputer i wydobywa wszystkie adresy e-mail, jakie znajdzie w plikach: TXE, EML, HTM, HTML, DBX i WAB. Rozsyła się następnie do wszystkich.
Istotne jest to, że robak został tak zaprogramowany, aby rozprzestrzeniać się tylko do końca maja.
Rozprzestrzeniając się w obrębie sieci lokalnych, Palyh zapisuje się w autostarcie wszystkich komputerów połączonych z zainfekowanym komputerem.
Palyh został stworzony w języku programowania Microsoft Visual C++. Rozmiar pliku odpowiedzialnego za infekcję waha się pomiędzy 50,176 a 54,272 bajtów (skompresowany za pomocą UPX). Po dekompresji osiąga wielkość 111,616 bajtów.
Pod adresem www.pogotowie.pspolska.pl firma Panda Software udostępniła PQRemover, bezpłatny program do dezynfekcji i naprawy komputera zaatakowanego przez wirusa Palyh.
