Palyh: un worm col count-down

Si chiama Palyh l'ultimo worm individuato dai soliti instituti per la sicurezza informatica. Si diffonde fino al 31 maggio 2003 via email e si tiene aggiornato attraverso internet.

di Fabio Boneschi pubblicata il 19 Maggio 2003, alle 17:29 nel canale Sicurezza

W32.Paly.A è un worm che si diffonde attraverso allegati messaggi email il cui mittente viene falsificato. Le dimensioni del file di codice sono di circa 50KB ed è rappresentato da un file con estensione .PIF. Il codice del worm è compresso con l'utilità UPX.

Le caratteristiche del messaggio email sono le seguenti:

Mittente: support@microsoft.com
Messaggio: All information is in the attached file.

L'oggetto dell'e-mail viene generato casualmente usando la seguente lista di nomi

Re: My application
Re: Movie
Cool screensaver
Screensaver
Re: My details
Your password
Re: Approved (ref: 3394-65467)
Approved (Ref: 38446-263)
Your details

Il nome del file allegato invece viene selezionato casualmente attraverso il seguente elenco

application.pif
movie28.pif
screen_doc.pif
screen_temp.pif
doc_details.pif
password.pif
approved.pif
ref-394755.pif
your_details.pif

Gli indirizzi email ai quali il worm cerca di autoinviarsi, vengono estratti dai files presenti sul computer infetto, che hanno le seguenti estensioni

html
htm
dbx
wab

Quando viene malauguratamente attivato sul sistema, il worm effettua una serie di azioni a garanzia della sua esecuzione in automatico. Nel Registro di sistema scrive il valore

System Tray=C:\WINDOWS\msccn32.exe

nelle chiavi

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Quindi crea sul disco il file hnks.ini dove memorizza gli indirizzi e-mail trovati.
Il worm usa un suo motore SMTP per inviare le e-mail infette. Inoltre, tenta di diffondersi anche in rete locale, copiando se stesso in alcuni percorsi eventualmente presenti su dischi condivisi:

Documents and Settings\All Users\Start Menu\Programs\Startup
Windows\All Users\Start Menu\Programs\Startup

Il worm tenta di prelevare e di eseguire dei file da quattro diversi siti web, quindi è anche in grado di aggiornare se stesso o di installare ulteriore malware sul sistema infetto.

La fase di autoinvio e diffusione sarà attiva solo fino al 31 Maggio 2003, oltre tale giorno il parco macchine infettato provvederà ad aggiornarsi utilizzando la connessione web di sistema. Tali macchine potrebbe potenzialmente trasformarsi in sistemi zombie utilizzabili in successivi attacchi informatici .

Ulteriori informazioni sono disponibili a questo indirizzo.

Tyan Tachyon 9500 Pro reviewed

Novell e la comunita' Open Source

moGio19 Maggio 2003, 17:49 #1

Dubbio

Ma l'avete fatto voi per conoscere cosi' bene i meccanismi interni?

;-)

Comunque non lo temo, visto che uso solo il browser (opera) per leggere la posta...

Barix19 Maggio 2003, 17:55 #2

scusate l'OT: Grande moGio! anch'io uso Opera sia per la posta che come browser ed è spaziale !!!

dooka19 Maggio 2003, 19:11 #3

l'allegato nn l'ho aperto ma solo in preview (uso eudora) rischio/ho rischiato qualcosa?

naturalmente la mia diffidenza mi ha convinto a cancellarlo subito

Diadora19 Maggio 2003, 20:02 #4

Apro le mail solo da web, direttamente dal sito, no problem quindi. Comunque è un virus "interessante", un codice pericoloso e a tempo...

[JaMM]19 Maggio 2003, 21:13 #5

però... un virus bello tosto eh??? Secondo me potrebbe creare problemi sopratutto l'ondata di virus "aggiornati"...

DevilsAdvocate19 Maggio 2003, 22:11 #6

Ma perche' non vengon mai resi pubblici anche gli
indirizzi IP dei siti a cui si collega? Almeno gli Hacker possono trovare qualcosa di divertente da abbattere....... E costruttivo per la societa'

sinadex20 Maggio 2003, 02:48 #7

al meno dopo il 31 stimao un po più tranquilli...

kolpo_8120 Maggio 2003, 08:46 #8

Anche a me è arrivato in ufficio, proprio questa mattina quando leggevo la notizia

cdimauro20 Maggio 2003, 13:59 #9

Io utilizzo Opera come browser ed Eudora per le mail, ma con l'opzione di non utilizzare Explorer per visualizzare le mail HTML...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.

tutti gli articoli »

tutte le news »

Multimedia
Gallerie
Video

Dongfeng Box, prima volta dal vivo, tutti i dettagli

Destiny Rising

Nuova Renault Clio E-Tech

Volkswagen ID.Cross Concept a IAA Mobility 2025

ID. Polo GTI a IAA Mobility 2025

Intel Xeon Clearwater Forest - Hot Chips 2025

Hisense A85N: il ritorno all’OLED è convincente e alla portata di tutti Dopo alcuni anni di assenza dai cataloghi dei suoi televisori, Hisense riporta sul mercato una proposta OLED che punta tutto sul rapporto qualità prezzo. Hisense...

TCL NXTPAPER 60 Ultra: lo smartphone che trasforma la lettura da digitale a naturale NXTPAPER 60 Ultra è il primo smartphone con tecnologia NXTPAPER 4.0 per il display, un ampio IPS da 7,2 pollici. Con finitura anti-riflesso, processore MediaTek...

Recensione Borderlands 4, tra divertimento e problemi tecnici Gearbox Software rilancia la saga con Borderlands 4, ora disponibile su PS5, Xbox Series X|S e PC. Tra le novità spiccano nuove abilità di movimento, un pianeta...

Fujifilm X-E5: la Fuji X che tutti gli appassionati volevano Dopo il fascino un po’ elitario della GFX100RF e le polemiche intorno a x Half, la nuova Fujifilm X-E5 riporta tutti d’accordo: una mirrorless compatta, leggera,...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

Cybersecurity: email, utenti e agenti IA, la nuova visione di Proofpoint Dal palco di Proofpoint Protect 2025 emerge la strategia per estendere la protezione dagli utenti agli agenti IA con il lancio di Satori Agents, nuove soluzioni...

Nuova Ford Capri elettrica, la super prova: in viaggio, in città e in autostrada Dopo diverse prove, da poche ore al volante, fino a un'intera settimana come prima auto, possiamo riportarvi tutti i dettagli e le impressioni sulla Ford Capri elettrica...

Ecovacs Deebot X11 Omnicyclone: niente più sacchetto per lo sporco Deebot X11 Omnicyclone implementa tutte le ultime tecnologie Ecovacs per l'aspirazione dei pavimenti di casa e il loro lavaggio, con una novità: nella base di ricarica...

Palyh: un worm col count-down

9 Commenti