Um novo e perigoso worm denominado Palyh (W32/Palyh) está neste momento activo e a infectar muitos computadores a nível mundial.
O Palyh propaga-se através de correio electrónico (utilizando o seu próprio motor SMTP) para todos os endereços recolhidos a partir de ficheiros com extensão TXT, EML, HTM, DBX, e WAB, encontrados no sistema afectado.
O e-mail enviado pelo worm mostra como remetente o seguinte endereço: support@microsoft.com. O assunto da mensagem é variável, sendo escolhido a partir de uma lista de opções predeterminada, nas quais se encontram: Re: My application; Re: Movie; Cool screensaver; ou Screensaver.
No corpo da mensagem aparece o texto: All information is in the attached file.
Finalmente, o ficheiro anexo à mensagem e que contem o Palyh é também variável, podendo ser um dos seguintes: your_details.pif; ref-394755.pif; approved.pif; o password.pif. Contudo, devido a um erro na programação deste worm, é possível que o ficheiro recebido mostre a extensão .PI em vez de .PIF.
Adicionalmente, o Palyh pode propagar-se através de redes, copiando-se para as pastas de arranque do Windows (no caso de os encontrar) presentes nos computadores ligados à
máquina infectada. Em contrapartida, o worm foi desenhado para se propagar unicamente até ao dia 31 de Maio.
Depois de se instalar no equipamento, o Palyh começa a realizar downloads de ficheiros de quatro endereços de Internet distintos com o objectivo de realizar novas acções maliciosas.
Adicionalmente cria duas novas entradas no registo do Windows de forma a se assegurar que é executado em cada arranque do sistema.
A Panda Software foi uma das empresas a detectar este novo worm e a aconselhar aos utilizadores a actualização do antivírus o mais rápido possível.