Descrizione Breve

Il worm Wallon invia e-mail in formato HTML. Questi messaggi utilizzano i servizi di redirezione di Yahoo per portare il web browser dell'utente verso siti che permettono il download di script e componenti aggiuntive dell'infezione.

Descrizione Dettagliata

Wallon e' un e-mail worm che si diffonde senza utilizzare file allegati, ma utilizzando link HTML all'interno del messaggio. Quando l'utente clicca sul link viene rediretto ad un'altra pagina web che scarica il file "terra.html". Questa nuova pagina contiene un link crittato ad un'altra pagina ancora dal nome "count.html", la quale utilizza una particolare vulnerabilita' sui data object preleva ed esegue il file "sys.chm". Questo file utilizza l'oggetto XMLHTTP/ADODB per prelevare un file binario dal nome "sys.exe" che sovrascrive l'eseguibile "wmplayer.exe" di Windows Media Player.

Il file "sys.exe" sara' cosi' eseguito ogni volta che l'utente aprira' Windows Media Player sia direttamente che attraverso una pagina web.

Il file SYS.EXE e' un downloader in grado di prelevare via web un altro file chiamato NOT.EXE e copiarsi nella directory principale del disco c: come ALPHA.EXE quando "NOT.EXE" viene eseguito. Il downloader "SYS.EXE" e' inoltre in grado di modificare la pagina iniziale di Internet Explorer facendola puntare al sito www.google.com.super-fast-search.apsua.com

Il file principale del worm e' ALPHA.EXE, un eseguibile in formato PE di circa 150 kb compresso con ASPack.

Quando il worm viene eseguito controlla il seguente valore nel Registro di Windows:

[HKCU\SOFTWARE\Microsoft\Internet Explorer\Main]
"Wh" = ?

Se il valore di questa chiave e' 'Yes', il worm attende 5 ore e accede al sito pixpox.com utilizzando il browser di default. Il worm tenta di accedere al sito ogni 10 minuti e per 10 volte.

Se la chiave del registro sopra indicata non esiste il worm la crea . Quindi legge i settaggi SMTP dal registro, individua ed apre un file WAB (Windows Address Book) ed invia messaggi a tutti gli indirizzi trovati. La mail con la quale si diffonde e' simile a questa

Il link contiene il dominio di appartenenza del destinatario della e-mail (offuscato nell'immagine sopra).

Il worm non invia messaggi ad indirizzi che contengono una delle seguenti stringhe:

microsoft
support
software
webmaster
postmaster
admin
+

Inoltre il worm invia un messaggio vuoto all'indirizzo 1@600pics.cjb.nets. Questo sistema e' probabilmente utilizzato per collezionare gli indirizzi e-mail dei computer infetti dal worm.

Se l'Address Book e' vuoto viene riportato un messaggio di errore simile a questo

Rilevazione

F-Secure Anti-Virus rileva Wallon con gli aggiornamenti pubblicati il 7 Maggio 2004:

[FSAV_Database_Version]

Version=2004-05-07_01

La rilevazione delle componenti aggiuntive dell'infezione e' possibile con gli aggiornamenti pubblicati l'11 Maggio 2004:

[FSAV_Database_Version]

Version=2004-05-11_04

F-Secure Corporation