Robak "od Microsoftu"

Przeczytaj także: Pierwszy robak z dialerem

Wirus rozprzestrzenia się za pomocą poczty elektronicznej oraz w obrębie sieci lokalnych. Wiadomość przenosząca infekcję jest stosunkowo łatwa do identyfikacji, podszywa się bowiem pod list od Microsoftu, a jako adres nadawcy pojawia się zawsze support@microsoft.com. Tekst brzmi: "All information is in the attached file."

Po otwarciu zalacznika następuje aktywacja wirusa, który natychmiast przeszukuje komputer i wydobywa wszystkie adresy e-mail, jakie znajdzie w plikach: TXE, EML, HTM, HTML, DBX i WAB. Rozsyła się następnie do wszystkich.

Istotne jest to, że robak został tak zaprogramowany, aby rozprzestrzeniać się tylko do końca maja.

Panosząc się w obrębie sieci lokalnych, Palyh zapisuje się w Autostrcie wszystkich komputerów połączonych z zainfekowanym komputerem.

Palyh został stworzony w języku programowania Microsoft Visual C++. Rozmiar pliku odpowiedzialnego za infekcję waha się pomiędzy 50,176 a 54,272 Bajtów (skompresowany za pomocą UPX). Po dekompresji osiąga wielkość 111,616 Bajtów.

Ponieważ zgłoszenia o infekcji przyjmowane są już z całego świata zalecana jest szczególna ostrożność. Pod adresem firma Panda Software udostępniła PQRemover, bezpłatny program do dezynfekcji i naprawy komputera zaatakowanego przez wirusa Palyh.