Palyh

PALYH, gusano de alta propagación masiva vía correo y redes compartidas, simula ser remitido por Microsoft.

W32/Palyh@mm, I.worm.Palyh@mm

Palyh es un gusano no destructivo reportado el 19 de Mayo del 2003, pero de alta propagación masiva vía mensajes de correo, con una única dirección de Remitente que simula ser el Soporte de Microsoft, con diversos Asuntos y archivos anexados. Se difunde en Redes compartidas, incluso en aquellas aquellas conectadas en forma remota.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Está desarrollado en Visual C++, con una extensión que varía entre 50 y 54 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Este gusano emplea la técnica Email spoofing, que disfraza la verdadera dirección del Remitente.

La muestra obtenida fue enviada desde Inglaterra.

Las características de los mensajes son las siguientes:

Remitente: support@microsoft.com

Asuntos, uno de los siguientes:
Re: My application
Re: Movie
Cool screensaver
Screensavers
Re: My details
Your password
Re: Approved (Red. 3394-65467)
Approved (Ref. 38446-263)
Your details

Anexados, cualquiera de los siguientes:

ref-394755.pi
approved.pif
ref-394755.pif
password.pif
password.pif
ref-394755.pif
application.pi
screen_doc.pi
download1053122425102485703.uue
doc_details.pif
download1053122425102485703.uue
approved.pi
_approved.pif

Contenido: All information is in the attached file

Al ejecutar el archivo anexado, el gusano se auto-copia al directorio %Windir% con los siguientes nombres:

msccn32.exe (copia del gusano)
hnks.ini (archivo de configuración, donde almacena las direcciones de correo)

Para ejecutarse la próxima vez que se inicie el sistema el gusano genera las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"System Tray" = "%Windir%\msccn32.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"System Tray" = "%Windir%\msccn32.exe"

Además el gusano identifica las unidades de red con recursos compartidos y se auto-copia a las siguientes rutas, si las mismas estuviesen habilitadas, con el propósito de propagarse a través de las mismas:

\Documents and Settings\All Users\Start Menu\Programs\Startup\
\%Windir%\All Users\Start Menu\Programs\Startup\

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP y C:\Winnt en Windows NT\2000.

Posee su propio SMTP (Simple Mail Transfer Protocol) con una única dirección de Remitente y se envía a todos los buzones contenidos en el cTmail, el sistema servicio de correo basado en la web, o los que son capturados en archivos del sistema infectado y sus unidades de red compartidas, con las siguientes extensiones:

.WAB
.DBX
.HTM
.HTML
.EML
.TXT

El gusano intenta actualizarse desde varios sitios en la web pero debido a errores en su programación, su proceso no es ejecutado eficientemente.

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo a través de su propio SMTP simulando como remitido por el Soporte de Microsoft.
Captura direcciones de correo basadas en la web y de archivos de varias extensiones.
Se propaga en redes compartidas, incluso las conectadas remotamente.
Intenta actualizarse de varios sitios en la web.
Satura servidores de Correo y de archivos (File Servers) en Redes LAN.

PER ANTIVIRUS® versiones 8.0 y 8.1 con registro de virus al 19 de Mayo del 2003 detectan y eliminan eficientemente este gusano.

Nota: existe una diferencia de 6 horas entre Perú e Inglaterra