Описание
Win32.HLLM.Wallon - почтовый червь массовой рассылки. Написан на Delphi и упакован упаковщиком ASPack. Размер исполняемого модуля червя в упакованном виде 150 528 байт.
Вы используете устаревший браузер!
Страница может отображаться некорректно.
Защити созданное
Другие наши ресурсы
Напишите
Ваши запросы
Позвоните
Глобальная поддержка:
+7 (495) 789-45-86
Свяжитесь с нами Незакрытые запросы:
Добавлен в вирусную базу Dr.Web: 2005-04-22
Описание добавлено: 2005-04-22
Описание
Win32.HLLM.Wallon - почтовый червь массовой рассылки. Написан на Delphi и упакован упаковщиком ASPack. Размер исполняемого модуля червя в упакованном виде 150 528 байт.
Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. Отправка писем осуществляется по адресам, обнаруженным им в локальной адресной книге Windows. Собранные в системе адреса червь отправляет на 1@600pics.cjb.net. Почтовое сообщение, инфицированное червем, выглядит следующим образом:
Тема сообщения: RE:
Текст сообщения содержит URL http :// drs.yahoo.com/%доменное имя% /NEWS. Щелкнув по ссылке, пользователь перенаправляется на веб-сайт http://www.security-warning.biz/personal6/maljo24, на котором злоумышленником размещен вредоносный скрипт. Для проникновения в систему без вмешательства пользователя скрипт использует уязвимость в системе безопасности MS Windows, описанный в бюллетене компании Microsoft
MS 04-013, который загружает в систему, устанавливает и активирует исполняемый модуль червя в виде файла wmplayer.exe.
С целью избежать повторного заражения компьютера своими копиями, червь добавляет данные
Wh = \"Yes\" в ключ реестра
HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\, что служит ему индикатором присутствия.