Pojavio se još jedan crv koji se primarno širi email porukama.

Nazvan je WORM_WALLON (aliasi:W32/Wallon.worm, TR/SPY.GooglerFS.1), a posebno je aktivan na području Njemačke i ostatka EMEA zone, uključujući i Hrvatsku.

Detalji o djelovanju, načinu širenja i proceduri za njegovo uklanjanje

pogledajte na:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_WALLON.A

Ovaj tzv. mass-mailing crv koristi MHTML ranjivost Outlook Expressa

(MS04-013) kojom napadaču omogućuje preuzimanje (download) datoteka bez znanja korisnika napadnutog računala.

Detaljnije o ovoj ranjivosti možete pogledati na sljedećim linkovima:

MS04-013_MS_OUTLOOK_EXPRESS

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=MS04-013_MS_OUTLOOK_EXPRESS

Microsoft Security Bulletin MS04-013

http://www.microsoft.com/technet/security/bulletin/ms04-013.mspx

Crv šalje email poruku (email message

<default5.asp?VName=WORM_WALLON.A&VSect=T> ) u HTML formatu. Unutar poruke nalazi se i hiperlink, kojim se korisnika preusmjerava na Web stranicu, a sa koje se preuzimaju (downloadaju) neke komponente ovog crva i kopiraju u napadnuti sustav.

Crv prikuplja email adrese iz adresara na lokalnom (napadnutom) stroju - WAB datoteke - koje koristi za lažiranje zaglavlja poruka i za širenje SPAM-a.

Crv također pokušava downloadati adware program, otvoriti višestruke

Internet konekcije prema Web stranicama neprihvatljivog sadržaja (za nekog možda ipak i doslovce vrlo prihvatljivog) , te pokušava poslati poruku sa specifičnim email adresama Po inicijalnom izvođenju crva prikazuje se message-box čije zaglavlje nosi naziv "alpha", a u tekstu poruke navodi se greška : "OLE error 8004010F"

Crv djeluje na svim Windows platformama: Windows 95, 98, NT, ME, 2000 i XP.