Win32/Palyh.A@mm Virus <- Nieuwe rage ofzo?

Kijk eens bij Virusalert.nl

http://www.virusalert.nl/?show=virus&id=498

Eigenschappen van het e-mailbericht:

- Afzender: support@micrsoft.com

- Onderwerp: [willekeurig, één van onderstaande:]
OF/OF:
Re: My application
Re: Movie
Cool screensaver
Screensaver
Re: My details
Your password
Re: Approved (Ref: 3394-65467)
Approved (Ref: 38446-263)
Your details

- Tekst van het bericht: All information is in the attached file

toon volledige bericht

2 sec op de mcafee en ik had het al gevonden:


Virus Profile


Virus Information
Name: W32/Palyh@MM

Risk Assessment

- Home Users: Medium

- Corporate Users: Medium

Date Discovered: 5/18/2003

Date Added: 5/18/2003

Origin: Unknown

Length: approx. 50 KBytes

Type: Internet Worm

SubType: E-mail worm

DAT Required: 4265


Quick Links
Virus Characteristics
Indications of Infection
Method of Infection
Removal Instructions
Aliases
Send Virus Info via Email


Buy or Update
New Users Get Protected Now:
Buy VirusScan Online

Update VirusScan Online

Download the latest DAT files


Virus Characteristics

-- Update 05/18/03 --
Detection and cleaning for this worm will be included in the 4265 DATs, which are currently being tested, and will be released today.

This worm bears strong similarities to W32/Sobig@MM. It is written in MSVC and is packed with UPX. The worm propagates via email and over network shares. It contains its own SMTP engine for constructing outgoing messages.

Mail Propagation

The worm mails itself to recipients extracted from the victim machine, constructing messages using its own SMTP engine.

Similarly to W32/Sobig@MM, the worm may mail itself with a ".PI" extension (as opposed to ".PIF").

Target email addresses are extracted from files on the victim machine with the following extensions:

WAB
DBX
HTM
HTML
EML
TXT
The worm may arrive in an email with the following characteristics:

From: support@microsoft.com

Subject:

Re: My application
Re: Movie
Cool screensaver
Screensavers
Re: My details
Your password
Re: Approved (Red. 3394-65467)
Approved (Ref. 38446-263)
Your details
Attachment:

Note: As mentioned above, the file extenion may be truncated to .PI instead of the intended .PIF.

approved.pif
ref-394755.pif
password.pif
ref-394755.pif
application.pif
screen_doc.pif
screen_temp.pif
movie28.pif
download1053122425102485703.uue
doc_details.pif
_approved.pif
Message Body:

All information is in the attached file.

Share Propagation

The worm enumerates network shares. It tries to copy itself to the following network locations if the paths are accessible:

\Documents and Settings\All Users\Start Menu\Programs\Startup\
\Windows\All Users\Start Menu\Programs\Startup\
Installation

Upon execution, the worm drops the following files into the %windir% directory:

"msccn32.exe" (approx 50kB) (a copy of itself)
"hnks.ini" (configuration file)
"mdbrr.ini" (configuration file)
The following Registry keys are added to hook system startup:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"System Tray" = %WinDir%\msccn32.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"System Tray" = %WinDir%\msccn32.exe
(where %WinDir% is the default Windows directory, for example C:\WINNT, C:\WINDOWS etc.)


Indications of Infection

Existence of the files and Registry keys detailed above.


Method of Infection

This worm propagates via email and network shares.


Removal Instructions

Complete detection and removal of this threat will be supplied in the specified DATs.

An EXTRA.DAT is available here.

A self-installing (SuperDAT) EXTRA.DAT is available here.


Aliases

W32.HLLM.Ccn (Dialogue Sci), W32.HLLW.Manx@mm (Sym)


Free Virus News Learn More...

Virus alerts, breaking news, & more!


Read the latest security news


Virus Information Search
beginning with containing ending with

About the Virus Information Library

Ik had er vanochtend 6 norton herkende ze wel

Normaal gesproken krijg ik niet zo vaak virussen terwijl ik hem vanochtend toch kreeg. Net op een e-mailadres die ik vrij weinig gebruikt
Maarja, verder weinig bijzonders aan dit virus. Het werkt gewoon met een attachment dus zal ws alleen maar actief worden onder n00bs die zomaar alles openen, die er waarschijnlijk nog veel zijn

DataBeest schreef op 19 May 2003 @ 11:14:
Normaal gesproken krijg ik niet zo vaak virussen terwijl ik hem vanochtend toch kreeg. Net op een e-mailadres die ik vrij weinig gebruikt
Maarja, verder weinig bijzonders aan dit virus. Het werkt gewoon met een attachment dus zal ws alleen maar actief worden onder n00bs die zomaar alles openen, die er waarschijnlijk nog veel zijn

en die wij natuurlijk in onze lijst hebben

Einstein vind dat ze maar eens wat kennis op moeten doen :P:

Je zal ze eens allemaal te eten moeten geven!!

Zullen we er hier geen speelkwartier van maken? Dank u wel

G33rt schreef op 19 May 2003 @ 11:17:
[...]


en die wij natuurlijk in onze lijst hebben

Einstein vind dat ze maar eens wat kennis op moeten doen :P:

[afbeelding]

Nee.

De persoon van wie ik het hem ontvangen is een moderator van een groot forum. (dat was te zien dmv de computernaam in de headers) Ik heb nog nooit contact met hem gehad.
Aangezien het virus ook in HTML bestanden naar e-mailadressen gaat zoeken zal het virus me in de browsercache tegengekomen zijn en het hebben verzonden.

Opzich wel een erg slimme manier om het virus te verspreiden. Op deze manier kom je aan velen malen meer e-mailadressen dan simpel het Outlook (Express) adressenboekje.
Stel je voor dat spammerts hiervan gebruik zouden gaan maken, door het op deze manier scannen op e-mailadressen in een soort spyware-programma te doen. Brrr...

Beetje vaag virus dit, na 31 mei a.s. verspreid het zichzelf niet meer

The worm contains a routine which retrieves and checks the system date/time. If the date matches 31st May 2003 (or later), the worm no longer propagates (it will successfully install itself on target machines however).

http://vil.nai.com/vil/content/v_100307.htm

Ik word er ook een beetje leip van. support@microsoft.com

Laten we dit topic vanaf nu in z'n waarde? Gaarne alleen discusseren a.u.b.

Opmerkingen in de trend van:

'Ik heb hem ook'
'Ik heb er ook x in m'n mailbox gekregen'

achterwege laten?

Dank u

Oh... Ik blok op mijn mailserver toch alle atachments die eindigen met de extensie .vbs .exe .bat .com en dan nog dat e-mailadres. Nav8 Corporate Edittion draait erop dus ik ben helemaal safe :D:D:D

Is er iemand bereid om er eentje naar mij te sturen, ik heb er namelijk nog geen en ik zou hem graag hebben. (áls er iemand stuurt, de cart server accepteert alleen zip's e.d.)
Bij voorbaat dank.

Nuttige bijdrage aan dit topic:
Norton detecteert hem trouwens als W32.HLLW.Mankx@mm

Raar is, dat KAV gisteren I-worm.palyh detecteert, maar vandaag ook nog detectie voor I-worm.sobig.b heeft toegevoegd(dat is nog een andere naam bij een andere AV voor palyh)

Edit: Slecht gekeken, KAV heeft hem gerenamed naar I-worm.Sobig.b (wat eigenlijk raar is, aangezien ze eerst de meest gangbare naam hadden).

[ Voor 17% gewijzigd door Verwijderd op 19-05-2003 18:15 ]

Verwijderd schreef op 19 May 2003 @ 16:18:
Is er iemand bereid om er eentje naar mij te sturen, ik heb er namelijk nog geen en ik zou hem graag hebben. (áls er iemand stuurt, de cart server accepteert alleen zip's e.d.)
Bij voorbaat dank.

Nuttige bijdrage aan dit topic:
Norton detecteert hem trouwens als W32.HLLW.Mankx@mm

Raar is, dat KAV gisteren I-worm.palyh detecteert, maar vandaag ook nog detectie voor I-worm.sobig.b heeft toegevoegd(dat is nog een andere naam bij een andere AV voor palyh)

Edit: Slecht gekeken, KAV heeft hem gerenamed naar I-worm.Sobig.b (wat eigenlijk raar is, aangezien ze eerst de meest gangbare naam hadden).

Check uw je mail
edit: of klik.

[ Voor 8% gewijzigd door kamerplant op 19-05-2003 19:14 ]

Ik kreeg het mailtje daarnet ook en Norton maakte geen melding. Wordt het nog niet herkent ofzo?

DataBeest schreef op 19 May 2003 @ 18:55:
[...]

Check uw je mail
edit: of klik.

Thanks a lot.

Norton herkent het virus sinds gisteravond, er is een liveupdate voor geweest zelf. Virusdefs niet up to date?

[ Voor 21% gewijzigd door Verwijderd op 19-05-2003 19:21 ]

Hmm....ik krijg ook heel wat mailtjes van verontruste kennissen die me waarschuwen over 'dit nieuwe, zeer gevaarlijke virus' en dat 'alle virusscanners er nog geen lapmiddel voor hebben'

Het gebruikelijke gedoe dus......

Zélf heb ik nooit meer last van wormen en andere virussen omdat het internet hier bijna dag en nacht aanstaat. Maarja, bij veel modemmers is dat natuurlijk anders, die mailen juist veel; maar hebben dan net niet de allernieuwste definities waardoor een toch relatief ongevaarlijke worm zich alsnog razendsnel kan verspreiden......

Het wordt tijd dat iedereen overstapt op I.net zonder tikken en de virusscanner zó instelt dat alles zo snel mogelijk wordt ge-update Maar dit zal wel een illusie zijn

BaRF schreef op 19 May 2003 @ 08:48:
Ik krijg sinds een paar dagen wat waarscshuwinkjes van mn ISP (zeelandnet) dat er virussen aan mij gezonden worden (mails worden bij de server gescand) en nu krijg ik vanmorgen ineens 95 waarschuwings emails dat het Win32/Palyh.A@mm mij steeds maar weer wordt toegezonden, en allemaal met als afzendend adres support@microsoft.com

Kijkend naar de originele headers laat zien dat ze uiteraard allemaal van andere ip's/afzenders komen. Ben ik nou de enige ofzo, want ik kan zowel bij norton als google niks vinden over dit virus? De mails met bijbehorende screensaver komen gelukkig niet eens bij me aan, maar dit is toch wel een verontrustende hoeveelheid!

BaRF schreef op 19 May 2003 @ 14:48:
jezus, ik heb nu alweer 116 nieuwe mails met dat virus er in

valt je dat op, het is precies 2 uur geleden dat je die andere 95 mailtjes stuurde fijn om te weten he dus misschien heb je er om 20.48 wel weer een hoop ontvangen

AVG herkent hem ook als virus:
. Ik heb hem in de zip gescand. Ik heb wel het zip- bestand geopend, maar ik ga maar niet kijken of AVG ook gestartte maligne code onderschept.

[ Voor 43% gewijzigd door Jaap-Jan op 19-05-2003 20:00 ]

Heb zojuist eens wat lopen prutsen..
Heb de file gedecompressed, en dat was genoeg voor McAfee om hem niet meer te vinden(met de één na laatste update van vandaag, het origineel werd dus wel al gevonden). Ge-update naar de laatste DATs en hij vond hem.

Daar word ik dus niet bepaald vrolijk van, dat hij een DAT update nodig heeft om zoiets te kunnen herkennen. (Heeft ermee te maken hoe de signatures werken, PC-Cillin heeft dat nog veel erger, een jaar na dato moeten die nog de signature voor klez.h aanpassen..).

Dit is niet de eerste keer dat McAfee faalt op zoiets, had zoiets al eerder, maar toen dacht ik dat KAV misschien iets te happig was, maar dat blijkt nu dus niet te kloppen, het is dus gewoon McAfee die hem niet vangt.(Dit was met oudere virii, dus de kreet beta-defs gaat niet (altijd) op).

Ik wil met dit verhaaltje niet zeggen dat KAV de beste signatures heeft, die lijken de signatures ook nog wel eens te updaten.

Ik denk dat McAfee nog wat tijd nodig heeft om hun engine wat meer bug-free te maken, want zulk soort problemen zijn meer aan te schrijven aan de engine, dan aan signatures.

Heb ooit eens met Kaspersky een bug uit hun programma gehaald, dat zo ongeveer om hetzelfde ging, maar dan anders en dat lag ook aan de échte engine.

Verder lijken de meeste AV's de naam te hebben veranderd in Sobig.b

Ik kreeg vandaag een mailtje van waarschuwingsdienst.nl Is een overheidsinstantie die zich bezighoudt met virussen en veiligheid op internet e.d. Je kunt je er gratis voor aanmelden op www.waarschuwingsdienst.nl Zodra er een nieuw virus bekend is krijg je er een berichtje van.

Leuk, ze hebben naar het broadcast adres van ons werk gestuurd ;-) laggen de mailservers beetje. Tprobleem gaat nu weer zijn dat de SMTP servers van de ISP's overbelast gaan zijn (die van Skynet Belgie zijn nu al overbelast) en dat er weer veeeeeeeel mensen gaan bellen naar support .
Twerkt natuurlijk weer alleen voor Windows, wanneer brengt er es een slimme een virus voor alle systemen ;-).

WiNlUx schreef op 19 mei 2003 @ 15:05:
Oh... Ik blok op mijn mailserver toch alle atachments die eindigen met de extensie .vbs .exe .bat .com en dan nog dat e-mailadres. Nav8 Corporate Edittion draait erop dus ik ben helemaal safe :D:D:D

Het virus heeft de extensie *.pi of *.pif zoals hierboven ergens te lezen valt

Sophos enews: the newswire which brings you up-to-the-minute
reports on virus issues, anti-virus countermeasures, new Sophos
products and product enhancements.

=======================
In this issue:

NEW PALYH WORM DISGUISES ITSELF AS AN EMAIL FROM MICROSOFT

AUSTRALIAN HACKER SENTENCED UPON APPEAL

OPENFIND AND SOPHOS PROTECT EMAIL USERS IN TAIWAN

ADD LIVE VIRUS AND HOAX INFORMATION TO YOUR WEBSITE OR INTRANET

=======================
Read the full stories:


NEW PALYH WORM DISGUISES ITSELF AS AN EMAIL FROM MICROSOFT
The W32/Palyh-A worm has spread wide via email since its discovery
earlier today. Read more about how this worm works, ensure
you are protected against it, and make sure your company takes
steps to avoid future virus attacks too.

http://www.sophos.com/virusinfo/articles/palyh.html
http://www.sophos.com/virusinfo/analyses/w32palyha.html

Van gisteren, 12:16 uur.

Gewoon support@microsoft.com blocken. Nergens last van.

MAZZA schreef op 20 mei 2003 @ 09:00:
[...]

Het virus heeft de extensie *.pi of *.pif zoals hierboven ergens te lezen valt

Dan ga ik die ook maar eens blokken. Ik heb btw support@microsoft.com al dicht gezet

MAZZA schreef op 20 May 2003 @ 09:00:
[...]

Het virus heeft de extensie *.pi of *.pif zoals hierboven ergens te lezen valt

Ik heb *.pi niet gelezen ergens maar krijg die dus ook.. D8 al dat het maybee een dooie worm was .
Maar als ie *.pi is dan kan ie toch ook niks doen omdat het geen executable is

Voor mij is het erger. Dit weekend is het w32/SoBig.C@mm actief geworden dat mails stuurt met bedrijven als afzender (zoals boven bijv. microsoft.com). Nu blijkt dat ook mijn bedrijf als afzender wordt genoemd terwijl we zelf helemaal vrij zijn van virussen (althans zeker van dit virus).