Sophos enttarnt Wolf im Schafspelz: Palyh-Wurm taucht als Microsoft E-Mail auf

Mai 19, 2003 Sophos Press Release

Bill Gates, Microsoft

Die AntivirenSpezialisten von Sophos warnen vor einem neuen EMailfähigen Wurm, der sich als eine EMail vom technischen SupportTeam von Microsoft tarnt. Sophos hat bereits mehrere Hinweise dazu erhalten, dass sich der Wurm rasch verbreitet.

Der als Palyh (W32/PalyhA) bekannte Wurm gibt vor, von support@microsoft.com verschickt worden zu sein und enthält die Textnachricht, dass sich alle Informationen in der anhängenden Datei befinden.

Diese Datei ist ein WindowsProgramm mit einer 'PIF'Erweiterung. Sobald Anwender diesen Anhang öffnen, infizieren sie sich sofort. W32/PalyhA kopiert sich in den WindowsOrdner, sammelt alle EMailAdressen, die sich auf der Festplatte befinden, und versendet sich automatisch als EMail an sie.

"Viele Anwender, die sich vor EXE und VBSDateien in ihrem EMailEingang vorsehen, sind sich nicht bewusst, dass PIFDateien genauso schädlich sein können", erklärt Gernot Hacker, Senior Technical Consultant bei Sophos. "Der technische Support von Microsoft versendet keine Dateien in dieser Form, deshalb sollten Anwender lieber übervorsichtig sein, bevor sie die Datei anklicken."

Sophos rät Unternehmen, alle WindowsProgramme an ihrem EMailGateway zu blocken. Es ist in den seltensten Fällen nötig, Mitarbeitern zu erlauben, Programme per EMail zu empfangen. Es gibt wenig zu verlieren, aber viel zu gewinnen, wenn Programme blockiert werden, die via EMail ins Haus kommen egal, ob sie Viren enthalten oder nicht. Anwender von Sophos MailMonitor für SMTP erreichen dies durch die Dateifilterungsfunktion.

"Unternehmen sollten automatisch alle ausführbaren Codes am EMailGateway abfangen", ergänzt Gernot Hacker. "Zumindest sollte PIFDateien der Eintritt ins Unternehmensnetz verwehrt werden. Es gibt normalerweise keinen Grund, authentische PIFDateien per EMail zu versenden, da sie nur eine Art Shortcut sind."