Email-Worm.Win32.Wallon.a

Технические детали

Вирус-червь, распространяющийся через интернет в виде ссылки на зараженный веб-сайт.

Зараженные письма содержат в себе HTML-ссылку:

<HTML><HEAD></HEAD><BODY bgColor=#ffffff><DIV><FONT face=Arial size=2><BR>
<A href="http://drs.yahoo.com/[домен получателя]/NEWS/
*http://www.security-warning.biz/personal6/maljo24/
www.YAHOO.com/#http://drs.yahoo.com/[домен получателя]/NEWS">
http://drs.yahoo.com/[домен получателя]/NEWS
</A></FONT></DIV></BODY></HTML>

Внешний вид ссылки в email-клиенте:

При обращении по данной ссылке происходит использование уязвимости в Internet Explorer в результате чего в системе исполняется скриптовый "троянец".

Данная троянская программа извлекает из себя и перезаписывает файл "wmplayer.exe" (размер около 36 КБ, упакован ASPack) своим файлом, который является троянской программой класса Downloader.

Данный файл загружает из интернета основной файл червя и устанавливает его в корневой каталог диска C: с именем "alpha.exe". Также "троянец" изменяет стартовую страницу Internet Explorer на сайт www.google.com.super-fast-search.apsua.com.

Основной компонент червя представляет собой PE-файл, размером около 150 КБ. Написан на Delphi, упакован ASPack.

При инсталляции в систему червь создает в системном реестре ключ:

[HKCU\SOFTWARE\Microsoft\Internet Explorer\Main]
 "Wh" = ?

В дальнейшем данный ключ проверяется червем и в зависимости от собственных значений происходит попытка открытия сайта pixpox.com. Таким образом червь осуществляет функцию Clicker, увеличивая на данном сайте счетчик посещений.

Также червь создает собственный toolbar в Internet Explorer.

Червь рассылает письмо со ссылкой по всем адресам электронной почты, найденным в адресной книге MS Outlook.

Для отправки писем червь использует указанный в системе SMTP-сервер.