Компания F-secure (http://www.f-secure.com) сообщила об обнаружении нового червя, рассылающего по электронной почте сообщения в формате HTML – Wallon. Эти сообщения содержат ссылки, использующие сервис переадресации Yahoo и открывающие в браузере пользователя сайт, на котором расположен скрипт, загр
жающий и запускающий другие компоненты червя.
В отличие от большинства червей, рассылаемых по электронной почте, Wallon не присоединяет себя к сообщению в виде приложенного файла. Вместо этого он присылает ссылку в составе сообщения в формате HTML, имеющую вид ссылки на одну из страниц Yahoo. При еЈ открытии вирус использует службу переадресации Yahoo и открывает другую страницу, на которой загружается файл terra.html. Данный файл содержит зашифрованную ссылку на еще одну страницу, где расположен файл count.html. Эот файл использует уязвимость данных объекта для загрузки и запуска файла sys.chm. Последний, в свою очередь, используя XMLHTTP/ADODB, загружает двоичный файл под названием sys.exe, который переписывается в файл wmplayer.exe из папки Windows Media Player. Загруженный файл будет выполняться при каждом открытии Windows Media Player, как непосредственном, так и через веб-страницу. Файл SYS.EXE является загрузчиком. Он загружает файл NOT.EXE и помещает его под имением ALPHA.EXE в корневой каталог на диске C. После этого файл активируется.
Кроме того, загрузчик изменяет начальные поисковые страницы браузера Internet Explorer, в результате чего при его запуске открывается страница www.google.com.super-fast-search.apsua.com. ALPHA.EXE, главный файл червя, имеет объем 150 Кб и упакован с помощью компрессора ASPack. При запуске червь проверяет значение в одной из записей реестра ОС. При положительном значении червь ждет пять часов, а затем 10 раз открывает сайт pixpox.com с перерывами по 10 минут. После этого он читает пользовательские настройки SMTP из реестра, находит и открывает файл WAB (Windows Address Book) и рассылает электронные сообщения по всем обнаруженным адресам. Сообщения представляют собою ссылки, содержащие доменное имя получателя. При этом червь не посылает сообщения по адресам, содержащим следующие слова microsoft, support, software, webmaster, postmaster, admin. Червь отправляет также пустое письмо на адрес [email protected]. Вероятно, это делается для того, чтобы собирать электронные адреса пользователей,компьютеры которых заражены червем, сообщают специалисты F-secure.