W32/Wallon

Um sich an Mail-Virenscannern vorbei zu mogeln, verschickt der Wallon-Wurm E-Mails ohne Beilagen. Die Mails, die er von infizierten PCs aus automatisch verschickt, haben diese Kennzeichen:

Betreff: "RE:"

Der Mail-Text ist im HTML-Format und besteht nur aus einer URL nach diesem Muster:

"http://drs.yahoo.com/(Domain des Empfängers)/NEWS"

Beispiel: Wenn sich der Wurm etwa an abteilung@ihrprovider.ch verschickt, sieht der Link in jener Mail so aus:

"http://drs.yahoo.com/ihrprovider.ch/NEWS"

In Wahrheit führt er aber nicht zu einer Yahoo-Seite, sondern zu einer anderen Webseite. Sobald ein neugieriger Empfänger auf den Link in der Mail klickt, startet der Browser. Dieser wird nach ein paar Weiterleitungen bei einer Seite landen, von welcher der Wurm versucht, eine ausführbare Datei (sys.exe) herunter zu laden.

Hierfür missbraucht der Wurm offenbar eine Sicherheitslücke des Internet Explorers, für die aber anfangs Jahr schon ein Sicherheitsupdate [1] zur Verfügung stand. Wenn der Benutzer (bzw. die noch ungepatchte Sicherheitslücke) dies zulässt, überschreibt diese Datei die Programmdatei des Windows Media Players (wmplayer.exe). Nun wird die Wurmdatei anstatt des richtigen Media Players ausgeführt.

Diese überschriebene Datei wmplayer.exe ist die Download-Komponente des Wallon-Wurms, denn sie lädt von einer anderen Webseite eine Datei namens Not.exe herunter, die unter dem Namen Alpha.exe direkt in C:\ gespeichert und anschliessend gestartet wird.

Die Standard-Suchseite des Internet Explorers wird geändert, sodass sie nun auf www.google.com.super-fast-search.apsua.com zeigt. Google hat mit jener Seite nichts zu tun, denn die tatsächliche Domain lautet apsua.com.

Der Wurm erstellt in diesem Zweig einen Registry-Eintrag:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Der Eintrag lautet: "Wh" = "Yes"

Nach fünf Stunden beginnt der Wallon-Wurm, alle 10 Minuten eine Porno-Webseite namens pixpox.com zu öffnen.

Gemäss der Beschreibung von Symantec [2] erstellt der Wallon-Wurm fünf zusätzliche Buttons im Internet Explorer, die alle ebenfalls auf "www.google.com.super-fast-search.apsua.com" verweisen. Gleichzeitig erzeugt er in der Registry diese Einträge:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FE5A1910-F121-11d2-BE9E-01C04A7936B1}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FE5A1910-F121-11d2-BE9E-01C04A7936B2}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FE5A1910-F121-11d2-BE9E-01C04A7936B3}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FE5A1910-F121-11d2-BE9E-01C04A7936B4}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FE5A1910-F121-11d2-BE9E-01C04A7936B5}

Der Wurm liest das Windows-Adressbuch (WAB) des infizierten PCs und verschickt sich mit den eingangs erwähnten Kennzeichen an jede Mail-Adresse, die er darin findet. Nebenbei sammelt der Wurm diese Mail-Adressen und verschickt sie an die Adresse "1@600pics.cjb.net". Möglicherweise soll dies dazu dienen, später Spam zu verschicken. Sollte er nur ein leeres Adressbuch vorfinden, zeigt er eine Fehlermeldung an:

Titelbalken: "Alpha"

Fehlertext: "OLE error 8004010F", gefolgt von einer OK-Schaltfläche.

Screenshots der Wurmmail und der beschriebenen Fehlermeldung finden Sie beispielsweise bei F-Secure [3]. Ausser von Symantec und F-Secure wird der Wurm mittlerweile auch von anderen Virenscannern erkannt, beispielsweise von McAfee [4], Sophos [5] oder TrendMicro [6].