Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

I-Worm.Palyh


I-Worm.Palyh.A alias W32.Sobig.B, W32.HLLM.Ccn, W32.HLLW.Manx@mm

Der Wurm kommt per eMail-Attachment und hat die Größe von 50K - 52K. I-Worm.Palyh nützt keine Sicherheitslücke und kann deshalb NUR durch einen Doppelklick des Anwenders aktiviert werden. Allerdings verfügt der Wurm über eigene Routinen über die er sich versenden kann und ist nicht auf die Existenz von MS Outlook oder Outlook-Express angewiesen.


Das eMail ist variabel und setzt sich wie viele andere Viren aus folgenden Teilen zusammen:

Von:

support@microsoft.com

Subject:

Re: My application
Re: Movie
Cool screensaver
Screensaver
Re: My details
Your password
Re: Approved (Ref: 3394-65467)
Approved (Ref: 38446-263)
Your details

Text:
All information is in the attached file.

Attachment:
your_details.pif
ref-394755.pif
approved.pif
password.pif
doc_details.pif
screen_temp.pif
screen_doc.pif
movie28.pif
application.pif

Die Empfängeradressen liest der Wurm aus .TXT, .EML, .HTML, .HTM, .DBX, .WAB Dateien vom infizierten Rechner und versendet sich an diese.

Wird der I-Worm.Palyh aktiviert, kopiert er sich in das Windows Verzeichnis und legt in der Registry folgende Einträge an:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
System Tray = %WindowsDir%\msccn32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System Tray = %WindowsDir%\msccn32.exe


Im Windows-Verzeichnis legt der Wurm die Datei "hnks.ini" an wo alle gefundenen eMail-Adressen eingetragen werden. Sollten Sie diese Datei auf Ihrem PC finden, so können Sie auch sofort ersehen, an wenn sich der Wurm von Ihrem Rechner aus verschickt hat.

Die Datei "mdbrr.ini" im gleichen Verzeichnis beinhaltet die Konfiguration des Wurmes.

I-Worm.Palyh verbreitet sich auch über Netzwerke und kopiert sich in die Ordner:

Windows\All Users\Start Menu\Programs\StartUp\
Documents and Settings\All Users\Start Menu\Programs\Startup\

Wie I-Worm.Fizzer beinhaltet auch dieser Wurm eine Updatefunktion von einer Webseite. Diese funktioniert aber nur bis 31. Mai.

Tip vom Virendoktor:

Microsoft verschickt grundsätzlich keine Executables per eMail über die Adresse support@microsoft.com!!

Wir empfehlen mit Nachdruck keine Attachments mit der Endung EXE , COM, BAT, SCR und PIF zu starten, von denen nicht sicher gestellt ist, welche Aktionen sie tatsächlich auslösen.

Das Virus kann auch relativ einfach dadurch vermieden werden in dem PIF und SCR Datei by Default direkt am Gateway geblockt werden.

Stehen Sie JEDEM ausführbaren Dateianhang kritisch gegenüber! Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments ohne diese vorher auf Viren geprüft zu haben.
Aktivieren Sie wenn möglich einen eMail Filter, der Attachments, die Executables enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt.
Ein Update Ihres Virenschutzprogammes ist empfehlenswert.