Wallon est un virus qui se propage par e-mail.
Il se présente sous la forme d'un message dont le titre
est "RE" contenant un lien hypertexte de la forme
http://drs.yahoo.com/[nom domaine]/NEWS. Si l'utilisateur clique
sur ce lien, il est redirigé vers une page web piégée
qui provoque l'installation du virus sur son ordinateur si son
navigateur Internet Explorer n'est pas à jour dans ses
correctifs de sécurité. Le virus se substitue
alors au lecteur Windows Media Player, s'envoie à toutes
les adresses e-mail présentes dans le carnet d'adresses
Windows et envoie une copie de ces adresses à son auteur.
PREVENTION :
Les utilisateurs concernés doivent mettre
à jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer doivent aussi mettre à jour
leur système via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille exploitée par le virus
pour s'exécuter automatiquement lors de la visite
d'un site web piégé.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'antivirus
gratuit en ligne pour rechercher et éliminer
le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Win32.Wallon (Computer Associates)
I-Worm.Wallon (KAV)
W32/Wallon.worm.a (Mc Afee)
W32/Wallon-A (Sophos)
W32.Wallon.A@mm (Symantec)
WORM_WALLON.A (Trend Micro)
TAILLE :
150.528 octets
DECOUVERTE :
11/05/04
DESCRIPTION DETAILLEE :
Wallon est un virus qui se propage par e-mail. Il se présente
sous la forme d'un message sans fichier joint dont le titre
est "RE" contenant uniquement un lien hypertexte
de la forme http://drs.yahoo.com/[nom domaine]/NEWS. Si l'utilisateur
clique sur ce lien, il est redirigé vers une page web
piégée du site www.security-warning.biz qui
provoque l'installation du virus si son navigateur est une
version d'Internet Explorer non à jour dans ses correctifs.
La consultation de la page web piégée provoque
le téléchargement d'un fichier SYS.EXE (downloader)
qui écrase WMPLAYER.EXE (Windows Media Player) et provoque
lui-même le téléchargement et l'exécution
d'un fichier ALPHA.EXE à la racine du disque C: (le
virus proprement dit). Wallon s'envoie alors à toutes
les adresses présentes dans le carnet d'adresses Windows
et envoie une copie de ces adresses à une adresse appartenant
probablement à son auteur, potentiellement à
des fins de spamming. Le downloader remplace également
la page de recherche d'Internet Explorer par www.google.com.super-fast-search.apsua.com
et tente d'ouvrir à plusieurs reprises une fenêtre
de navigation vers un site pornographique.
Compte tenu de son mode fonctionnement, la propagation
du virus restera limitée mais plusieurs cas de contamination
nous ont été signalé en France. Les internautes
à jour dans leurs correctifs de sécurité
n'ont rien à craindre de ce malware ou d'éventuelles
variantes. Les autres ont tout intérêt à
mettre à jour leur système via le site WindowsUpdate
et à s'abonner à notre liste Secuser
Alerte pour être tenus informés de la disponibilité
des nouveaux correctifs, car les failles d'Internet Explorer
peuvent être exploitées par d'autres virus ou
d'autres individus douteux à des fins malveillantes.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|