WALLON.A se propaga por correo electrónico y aprovecha vulnerabilidades del Explorador de Internet y de Outlook Express.
Por la mañana de hoy TrendLabs, el laboratorio global de investigación antivirus de Trend Micro, detectó un alto índice de propagación de un nuevo código maligno, al que denominó WORM_WALLON.A, principalmente en las regiones de Europa, Medio Oriente y África.
Este gusano se propaga por correo electrónico y utiliza dos vulnerabilidades de productos de Microsoft:
La primera es una que afecta al Internet Explorer, que fue notificada por Microsoft el pasado 13 de febrero, y se describe en la siguiente liga: Microsoft Security Bulletin MS04-004, y que permite a un atacante ocultar la dirección URL verdadera de una página web.
La segunda es una que afecta a Outlook Express y se describe en la liga Microsoft Security Bulletin MS04-013. Fue identificada y corregida por Microsoft el 12 de abril de este año.
Al infectar una computadora, WALLON.A crea la siguiente entrada en el registro:
HKEY_CURRENT_USER\Software\MicrosoftInternet Explorer\Main
Wh = "Yes"
Enseguida, realiza una rutina de envío masivo de correo electrónico, con un mensaje que contiene la siguiente liga:
http://drs.
Cuando el usuario presiona sobre la liga, ésta se redirecciona a un sitio pornográfico, el gusano descarga el archivo WMPLAYER.EXE en la carpeta en la que se localiza el Reproductor Windows Media.
Al ejecutarse este último archivo, inicia a su vez la descarga de otro, denominado ALPHA.EXE, y que queda alojado en el directorio raíz de la computadora. Este archivo es descargado de otro sitio Web: co
Ambos archivos (WMPLAYER.EXE y ALPHA.EXE) son identificados por los productos de Trend Micro como WORM_WALLON.A
Con estas operaciones, WALLON.A logra quedar residente en memoria, y continuamente abre páginas Web pornográficas o publicitarias en la computadora contaminada.
Los clientes de Trend Micro están protegidos a través de más reciente patrón de virus número 888.
Otros usuarios pueden utilizar Housecall, el escáner antivirus en línea gratuito de Trend Micro, que se puede encontrar en http://housecall.trendmicro.com/
Trend Micro continúa analizando el código de este nuevo gusano y proveerá mayores detalles cuando éstos estén disponibles.
Para más información, por favor visite:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_WALLON.A
