14/05/2004 07h56 – Atualizado em 14/05/2004 07h56
O worm Wallon, identificado nesta terça-feira, 11 de maio, explora duas vulnerabilidades já conhecidas do Windows para infectar computadores. O vírus envia um e-mail no formato HTML, sem anexos, com um link para o site que irá contaminá-lo. A mensagem leva o usuário a acreditar que se trata de uma página do portal Yahoo! e se aproveita de uma falha divulgada no boletim MS04-04.
A TrendMicro classificou o vírus como de risco médio (alerta amarelo), mas aponta que seu potencial de danos e de distribuição são altos. A F-Secure o classifica como de nível 2, médio, e a Symantec o põe no nível 2, baixo, devido à sua baixa distribuição até o momento.
O assunto da mensagem vem apenas como “RE:”. O vírus não se envia para endereços de e-mail com os termos “admin”, “microsoft”, “postmaster”, “software”, “support” e “webmaster”, em uma aparente tentativa de se manter ignorado por usuários experientes pelo maior tempo possível.
De acordo com informações da TrendMicro, a contaminação se dá por uma série de downloads ativados pelo link acessado a partir da mensagem. A primeira página, um suposto site de segurança, roda um script malicioso que, por sua vez, executa um outro script chamado “terra.html”, localizado no mesmo site.
Este arquivo abre um site adulto e um suposto contador. O contador baixa um arquivo de ajuda do Windows, utilizando-se de uma vulnerabilidade relatada no mês passado, no boletim MS04-013, para executá-lo automaticamente. Este arquivo de ajuda baixa mais um arquivo executável, que tenta substituir o Windows Media Player. A tentativa falha em sistemas Windows XP e ME com a Restauração do Sistema ativada.
Ao ser executado, o falso Media Player muda a página inicial do Internet Explorer para www.google.com.super-fast-search.apsua.com, numa nova tentativa de enganar o usuário, e baixa um programa chamado ALPHA.EXE, que é copiado na pasta raiz do Windows. Este é o componente que tentará enviar a mensagem para outros usuários. O worm também manda uma mensagem de notificação para um endereço de e-mail gratuito.
Algumas versões baixam ainda um “adware” que ativa, de tempos em tempos, um outro script relacionado a sites adultos. O “adware” é identificado pela Sophos como o discador Top69-A, que termina a conexão atual do usuário para discar o de um serviço pago de pornografia.
Fonte:InfoGuerra
