CERT-FI varoitus 36/2003

"Palyh" mato-ohjelma leviää aktiivisesti

Sähköpostin liitetiedostojen ja Windows-verkkolevyjakojen avulla leviävä Palyh mato-ohjelma havaittiin ensimmäisen kerran 18-19.5 välisenä yönä Suomen aikaa. Madon sisältämä sähköpostiviesti on aina lähetetty osoitteesta:

support@microsoft.com

Viestin sisältö on seuraava:

All information is in the attached file

Viestiin on liitetty liitetiedosto, joka sisältää itse mato-ohjelman koodin.

Mato on ensihavaintojen jälkeen levinnyt maailmanlaajuisesti. Mato-ohjelma tunnetaan myös nimillä Mankx ja Sobig.B. Madolla on päivitysominaisuus: ohjelma pystyy hakemaan ohjelmakoodia neljästä eri WWW-osoitteesta.

VAROITUKSEN KOHDERYHMÄ:

Palyh mato-ohjelma leviää Microsoft Windows -käyttöjärjestelmissä. Mato-ohjelman sisältävät sähköpostien liitetiedostot ovat .PIF.päätteisiä. Mato-ohjelma valitsee liitetiedostojen nimet ja otsikkotiedot sisäiseltä listaltaan. Mato-ohjelma kerää sähköpostiosoitteita saastuneiden tietojärjestelmien Outlook-osoitekirjoista sekä levyjärjestelmän sähköpostiosoitteita sisältävistä tiedostoista.

Madon toinen leviämismenetelmä on etsiä lähiverkosta avoimia Windows-verkkolevyjakoja ja kopioida itsensä avoimien tietojärjestelmien StartUp-hakemistoihin.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

• Älä avaa sähköpostiviestien liitetiedostoja ilman virustarkistusta

• Suojaa tietojärjestelmä virustorjuntaohjelmistolla ja huolehdi virustietokannan päivityksestä

• Poista tarpeettomat Windows-verkkolevyjaot

LISÄTIETOA:

http://www.f-secure.com/v-descs/palyh.shtml
http://www.sophos.co.uk/virusinfo/analyses/w32palyha.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.mankx@mm.html
http://vil.nai.com/vil/content/v_100307.htm

PÄIVITYSHISTORIA:

19.05.2003: Julkaistu

Sivua päivitetty 30.11.2006

Tulostusversio