Sophos enttarnt Wolf im Schafspelz: Palyh-Wurm taucht als Microsoft E-Mail auf

Sophos Press Release

Die Antiviren-Spezialisten von Sophos warnen vor einem neuen E-Mail-fähigen Wurm, der sich als eine E-Mail vom technischen Support-Team von Microsoft tarnt. Sophos hat bereits mehrere Hinweise dazu erhalten, dass sich der Wurm rasch verbreitet.

Der als Palyh (W32/Palyh-A) bekannte Wurm gibt vor, von support@microsoft.com verschickt worden zu sein und enthält die Textnachricht, dass sich alle Informationen in der anhängenden Datei befinden.

Diese Datei ist ein Windows-Programm mit einer "PIF"-Erweiterung. Sobald Anwender diesen Anhang öffnen, infizieren sie sich sofort. W32/Palyh-A kopiert sich in den Windows-Ordner, sammelt alle E-Mail-Adressen, die sich auf der Festplatte befinden, und versendet sich automatisch als E-Mail an sie.

Palyh-A ist ab dem 31. Mai 2003 nicht mehr funktionstüchtig und verbreitet sich nicht weiter. Bis dahin scheint sich der Wurm durch Network Shares und E-Mails in Umlauf zu bringen. Dies hat zur Folge, dass Unternehmen, die ihre E-Mails durch E-Mail-Scanning-Services wie MessageLabs überwachen lassen, möglicherweise nicht aureichend geschützt sind. Aus diesem Grund hält es Sophos für ratsam, sowohl das Gateway als auch die Desktops und Server zu sichern. Desktop- und Server-Schutzprogramme dienen als Sicherheitsnetz gegen Viren, die über weniger bewachte Pfade, wie Network Shares, ins Unternehmen gelangen.

"Viele Anwender, die sich vor EXE- und VBS-Dateien in ihrem E-Mail-Eingang vorsehen, sind sich nicht bewusst, dass PIF-Dateien genauso schädlich sein können", erklärt Gernot Hacker, Senior Technical Consultant bei Sophos. "Der technische Support von Microsoft versendet keine Dateien in dieser Form, deshalb sollten Anwender lieber übervorsichtig sein, bevor sie die Datei anklicken."

Sophos rät Unternehmen, alle Windows-Programme an ihrem E-Mail-Gateway zu blocken. Es ist in den seltensten Fällen nötig, Mitarbeitern zu erlauben, Programme per E-Mail zu empfangen. Es gibt wenig zu verlieren, aber viel zu gewinnen, wenn Programme blockiert werden, die via E-Mail ins Haus kommen - egal, ob sie Viren enthalten oder nicht.

"Unternehmen sollten automatisch alle ausführbaren Codes am E-Mail-Gateway abfangen", ergänzt Gernot Hacker. "Zumindest sollte PIF-Dateien der Eintritt ins Unternehmensnetz verwehrt werden. Es gibt normalerweise keinen Grund, authentische PIF-Dateien per E-Mail zu versenden, da sie nur eine Art Shortcut sind."

Weitere Informationen zu W32/Palyh-A und Hinweise, wie man sich vor dem Wurm schützt oder ihn wieder entfernt, gibt es in der Virenanalyse.

Sophos beschreibt vorbildlichen E-Mail-Gateway-Schutz anhand seiner Produkt-Serie MailMonitor in folgendem Whitepaper.

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren.

Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.