Palyh: un worm col count-down

Palyh: un worm col count-down

Si chiama Palyh l'ultimo worm individuato dai soliti instituti per la sicurezza informatica. Si diffonde fino al 31 maggio 2003 via email e si tiene aggiornato attraverso internet.

di Fabio Boneschi pubblicata il , alle 17:29 nel canale Sicurezza
 

W32.Paly.A è un worm che si diffonde attraverso allegati messaggi email il cui mittente viene falsificato. Le dimensioni del file di codice sono di circa 50KB ed è rappresentato da un file con estensione .PIF. Il codice del worm è compresso con l'utilità UPX.

Le caratteristiche del messaggio email sono le seguenti:

Mittente: support@microsoft.com
Messaggio: All information is in the attached file.

L'oggetto dell'e-mail viene generato casualmente usando la seguente lista di nomi

Re: My application
Re: Movie
Cool screensaver
Screensaver
Re: My details
Your password
Re: Approved (ref: 3394-65467)
Approved (Ref: 38446-263)
Your details

Il nome del file allegato invece viene selezionato casualmente attraverso il seguente elenco

application.pif
movie28.pif
screen_doc.pif
screen_temp.pif
doc_details.pif
password.pif
approved.pif
ref-394755.pif
your_details.pif

Gli indirizzi email ai quali il worm cerca di autoinviarsi, vengono estratti dai files presenti sul computer infetto, che hanno le seguenti estensioni

html
htm
dbx
wab

Quando viene malauguratamente attivato sul sistema, il worm effettua una serie di azioni a garanzia della sua esecuzione in automatico. Nel Registro di sistema scrive il valore

System Tray=C:\WINDOWS\msccn32.exe

nelle chiavi

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Quindi crea sul disco il file hnks.ini dove memorizza gli indirizzi e-mail trovati.
Il worm usa un suo motore SMTP per inviare le e-mail infette. Inoltre, tenta di diffondersi anche in rete locale, copiando se stesso in alcuni percorsi eventualmente presenti su dischi condivisi:

Documents and Settings\All Users\Start Menu\Programs\Startup
Windows\All Users\Start Menu\Programs\Startup

Il worm tenta di prelevare e di eseguire dei file da quattro diversi siti web, quindi è anche in grado di aggiornare se stesso o di installare ulteriore malware sul sistema infetto.

La fase di autoinvio e diffusione sarà attiva solo fino al 31 Maggio 2003, oltre tale giorno il parco macchine infettato provvederà ad aggiornarsi utilizzando la connessione web di sistema. Tali macchine potrebbe potenzialmente trasformarsi in sistemi zombie utilizzabili in successivi attacchi informatici .

Ulteriori informazioni sono disponibili a questo indirizzo.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
moGio19 Maggio 2003, 17:49 #1

Dubbio

Ma l'avete fatto voi per conoscere cosi' bene i meccanismi interni?

;-)

Comunque non lo temo, visto che uso solo il browser (opera) per leggere la posta...
Barix19 Maggio 2003, 17:55 #2
scusate l'OT: Grande moGio! anch'io uso Opera sia per la posta che come browser ed è spaziale !!!
dooka19 Maggio 2003, 19:11 #3
l'allegato nn l'ho aperto ma solo in preview (uso eudora) rischio/ho rischiato qualcosa?

naturalmente la mia diffidenza mi ha convinto a cancellarlo subito
Diadora19 Maggio 2003, 20:02 #4
Apro le mail solo da web, direttamente dal sito, no problem quindi. Comunque è un virus "interessante", un codice pericoloso e a tempo...
[JaMM]19 Maggio 2003, 21:13 #5
però... un virus bello tosto eh??? Secondo me potrebbe creare problemi sopratutto l'ondata di virus "aggiornati"...
DevilsAdvocate19 Maggio 2003, 22:11 #6
Ma perche' non vengon mai resi pubblici anche gli
indirizzi IP dei siti a cui si collega? Almeno gli Hacker possono trovare qualcosa di divertente da abbattere....... E costruttivo per la societa'
sinadex20 Maggio 2003, 02:48 #7
al meno dopo il 31 stimao un po più tranquilli...
kolpo_8120 Maggio 2003, 08:46 #8
Anche a me è arrivato in ufficio, proprio questa mattina quando leggevo la notizia
cdimauro20 Maggio 2003, 13:59 #9
Io utilizzo Opera come browser ed Eudora per le mail, ma con l'opzione di non utilizzare Explorer per visualizzare le mail HTML...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^