Многие антивирусные компании сообщили об обнаружении нового сетевого червя "Palyh", распространяющегося в электронных письмах и ресурсам локальных сетей и маскирующегося под сообщения от службы технической поддержки Microsoft. На данный момент уже зарегистрировано большое количество случаев заражения данной вредоносной программой в разных странах мира.
"Palyh" доставляется на компьютер пользователей в виде файла, вложенного в письмо электронной почты или записанного в систему через локальную сеть. Червь активизируется при запуске этого файла-носителя, после чего заражает компьютер и запускает процедуру распространения.
Для рассылки по электронной почте вирус сканирует файлы с расширениями TXT, EML, HTML, HTM, DBX, WAB и выделяет из них строки, похожие на электронные адреса. Затем "Palyh" в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии.
Опасность данного вируса, в частности, заключается в том, что он использует методы "социального инжиниринга", стараясь обмануть получателей и заставить их поверить в то, что полученное ими сообщение пришло от службы технической поддержки корпорации Microsoft. Тот факт, что поле сообщения "От" содержит адрес Microsoft, привел к многочисленным случаям открытия вложенного файла и, соответственно, заражения компьютера.
В целом "Palyh" нельзя назвать опасным. Однако у него есть ряд особенностей, которые представляют собой потенциальную опасность для владельцев зараженных компьютеров. После заражения компьютера червь загружает четыре текстовых файла с адресом порнографического веб сайта. После этого он время от времени открывает окно браузера и пытается соединиться с этим сайтом. Таким образом, он в состоянии незаметно устанавливать свои более "свежие" версии или внедрять в систему программы-шпионы.
Автор "Palyh" встроил в программу временной триггер: если системная дата зараженного компьютера превосходит 31 мая, то червь автоматически отключает все свои функции за исключением загрузки дополнительных файлов. Эта особенность практически обрекает "Palyh", поскольку web-серверы, откуда он скачивает свои обновления, в ближайшее время будут закрыты.
