(WORM/Wallon, Email-Worm.Win32.Wallon.b, I-Worm/Wallon.A, Parser error, WORM_WALLON.A, W32/Wallon.worm, PAK_Generic.001, W32.Wallon.A@mm, Win32/Wallon!Worm, Win32/Wallon.A@mm, HTML_WALLON.A-1, Win32.HLLW.Wallon.A, Email-Worm.Win32.Wallon.a, Worm/Wallon)

Добавлен в вирусную базу Dr.Web: 2005-04-22

Описание добавлено: 2005-04-22

Описание

Win32.HLLM.Wallon - почтовый червь массовой рассылки. Написан на Delphi и упакован упаковщиком ASPack. Размер исполняемого модуля червя в упакованном виде 150 528 байт.

Способы распространения:

Червь распространяется по электронной почте, используя собственную реализацию протокола SMTP. Отправка писем осуществляется по адресам, обнаруженным им в локальной адресной книге Windows. Собранные в системе адреса червь отправляет на 1@600pics.cjb.net. Почтовое сообщение, инфицированное червем, выглядит следующим образом:

Тема сообщения: RE:
Текст сообщения содержит URL http :// drs.yahoo.com/%доменное имя% /NEWS. Щелкнув по ссылке, пользователь перенаправляется на веб-сайт http://www.security-warning.biz/personal6/maljo24, на котором злоумышленником размещен вредоносный скрипт. Для проникновения в систему без вмешательства пользователя скрипт использует уязвимость в системе безопасности MS Windows, описанный в бюллетене компании Microsoft MS 04-013, который загружает в систему, устанавливает и активирует исполняемый модуль червя в виде файла wmplayer.exe.

С целью избежать повторного заражения компьютера своими копиями, червь добавляет данные Wh = \"Yes\" в ключ реестра
HKCU\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\, что служит ему индикатором присутствия.