Червь Wallon использует описанную в MS04-13 дыру [ Редагувати ]
Сразу несколько антивирусных компаний сообщили об обнаружении вредоносной программы Wallon, распространяющейся по электронной почте в виде ссылок на зараженный веб-сайт.
При проникновении в систему вирус использует уязвимость, описанную корпорацией Microsoft в бюллетене безопасности MS04-13. Проблема связана с неправильной обработкой MHTML адресов.
Для реализации атаки злоумышленнику необходимо заставить пользователя перейти по составленному особым образом MHTML-URL. В случае с вредоносной программой Wallon такой адрес включен в состав HTML-письма в виде ссылки http://drs.yahoo.com/[домен получателя]/NEWS.
Причем при обращении по данной ссылке пользователь направляется не на новостной сайт Yahoo, а на страничку www.security-warning.biz/personal6/maljo24, откуда загружается основной компонент червя.
Далее вирус производит поиск адресов электронной почты в книге MS Outlook и осуществляет по ним массовую рассылку собственных копий.
Заметить присутствие вредоносной программы на компьютере несложно. В процессе установки Wallon перезаписывает файл wmplayer.exe, являющийся исполняемым компонентом мультимедийного приложения Windows Media Player.
Кроме того, червь изменяет стартовую страницу браузера Internet Explorer на сайт www.google.com.super-fast-search.apsua.com, сообщает "Лаборатория Касперского".
Параллельно вирус отправляет собранные на компьютере-жертве адреса на почтовый аккаунт [email protected], а также пытается поднять посещаемость сайта pixpox.com, содержащего "контент" для взрослых.