21.05.2003 Новости“Лаборатория Касперского” сообщила о том, что в последнее время в мире зарегистрировано большое количество случаев заражения ПК сетевым червем, получившим название Palyh. Он маскируется под сообщения от службы технической поддержки Microsoft и распространяется через электронные письма и ресурсы локальных сетей. Червь активизируется при запуске файла-носителя, после чего копирует себя под именем MSCCN32.EXE в каталог Windows и регистрирует эту программу в ключе автозапуска системного реестра. Таким образом, червь обеспечивает свою загрузку в память компьютера при старте операционной системы. Из-за ошибки в коде в некоторых случаях Palyh копирует себя в другие каталоги и поэтому функция автозапуска иногда не срабатывает. Для саморазмножения по электронной почте червь сканирует файлы с расширениями TXT, EML, HTML, HTM, DBX, WAB и выделяет из них строки, похожие на электронные адреса. Затем он в обход установленной почтовой программы подключается к используемому SMTP-серверу и рассылает через него на эти адреса свои копии. В качестве отправителя все письма червя имеют фальсифицированный адрес support@microsoft.com, но содержат различные заголовки, тексты и имена вложенных файлов. Следует отметить, что все файлы-приложения имеют расширение PIF (например, PASSWORD.PIF), хотя на самом деле являются обычными EXE-файлами. В данном случае Palyh использует ложное представление пользователей о безопасности PIF-файлов. Для распространения по локальной сети червь сканирует другие сетевые ...
читать далее.