Sophos enttarnt Wolf im Schafspelz: Palyh-Wurm taucht als Microsoft E-Mail auf

Mai 19, 2003 Sophos Press Release

Die Antiviren-Spezialisten von Sophos warnen vor einem neuen E-Mail-fähigen Wurm, der sich als eine E-Mail vom technischen Support-Team von Microsoft tarnt. Sophos hat bereits mehrere Hinweise dazu erhalten, dass sich der Wurm rasch verbreitet.

Der als Palyh (W32/Palyh-A) bekannte Wurm gibt vor, von support@microsoft.com verschickt worden zu sein und enthält die Textnachricht, dass sich alle Informationen in der anhängenden Datei befinden.

Diese Datei ist ein Windows-Programm mit einer "PIF"-Erweiterung. Sobald Anwender diesen Anhang öffnen, infizieren sie sich sofort. W32/Palyh-A kopiert sich in den Windows-Ordner, sammelt alle E-Mail-Adressen, die sich auf der Festplatte befinden, und versendet sich automatisch als E-Mail an sie.

Palyh-A ist ab dem 31. Mai 2003 nicht mehr funktionstüchtig und verbreitet sich nicht weiter. Bis dahin scheint sich der Wurm durch Network Shares und E-Mails in Umlauf zu bringen. Dies hat zur Folge, dass Unternehmen, die ihre E-Mails durch E-Mail-Scanning-Services wie MessageLabs überwachen lassen, möglicherweise nicht aureichend geschützt sind. Aus diesem Grund hält es Sophos für ratsam, sowohl das Gateway als auch die Desktops und Server zu sichern. Desktop- und Server-Schutzprogramme dienen als Sicherheitsnetz gegen Viren, die über weniger bewachte Pfade, wie Network Shares, ins Unternehmen gelangen.

"Viele Anwender, die sich vor EXE- und VBS-Dateien in ihrem E-Mail-Eingang vorsehen, sind sich nicht bewusst, dass PIF-Dateien genauso schädlich sein können", erklärt Gernot Hacker, Senior Technical Consultant bei Sophos. "Der technische Support von Microsoft versendet keine Dateien in dieser Form, deshalb sollten Anwender lieber übervorsichtig sein, bevor sie die Datei anklicken."

Sophos rät Unternehmen, alle Windows-Programme an ihrem E-Mail-Gateway zu blocken. Es ist in den seltensten Fällen nötig, Mitarbeitern zu erlauben, Programme per E-Mail zu empfangen. Es gibt wenig zu verlieren, aber viel zu gewinnen, wenn Programme blockiert werden, die via E-Mail ins Haus kommen - egal, ob sie Viren enthalten oder nicht.

"Unternehmen sollten automatisch alle ausführbaren Codes am E-Mail-Gateway abfangen", ergänzt Gernot Hacker. "Zumindest sollte PIF-Dateien der Eintritt ins Unternehmensnetz verwehrt werden. Es gibt normalerweise keinen Grund, authentische PIF-Dateien per E-Mail zu versenden, da sie nur eine Art Shortcut sind."

Weitere Informationen zu W32/Palyh-A und Hinweise, wie man sich vor dem Wurm schützt oder ihn wieder entfernt, gibt es in der Virenanalyse.

Sophos beschreibt vorbildlichen E-Mail-Gateway-Schutz anhand seiner Produkt-Serie MailMonitor in folgendem Whitepaper.