I-Worm/Wallon

病毒长度：36,352 bytes, 150,528 bytes

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Wallon是一个经ASPack压缩的群发邮件蠕虫，发送的邮件信息包含一个下载蠕虫体的超链URL。蠕虫利用IE弱点(MS04-004)显示一个链接，点击链接后便开始下载 "wmplayer.exe"文件到 Windows Media Player 文件夹，再利用Outlook Express的漏洞(MS04-013)下载并执行文件。

传播过程及特征：

1.修改注册表：

/生成下列子键，导致在IE工具栏上添加了五个按钮：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Extensions\\{FE5A1910-F121-11d2-BE9E-01C04A7936B1}

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Extensions\\{FE5A1910-F121-11d2-BE9E-01C04A7936B2}

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Extensions\\{FE5A1910-F121-11d2-BE9E-01C04A7936B3}

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Extensions\\{FE5A1910-F121-11d2-BE9E-01C04A7936B4}

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Extensions\\{FE5A1910-F121-11d2-BE9E-01C04A7936B5}

且五个按钮同时都指向：http:/ /www.google.com.super-fast-search.apsua.com

/如果键值："Wh"="Yes"在注册表HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Internet Explorer\\Main下没有发现则进行添加。

2.修改IE默认起始页为：http:/ /www.google.com.super-fast-search.apsua.com/fast-find.htm

修改默认搜索页为：http:/ /www.google.com.super-fast-search.apsua.com/search.htm

3.从特定的网站下载文件并存储到C:\\Alpha.exe，文件被执行后残体常驻内存。

4.从Windows地址簿下收集邮件地址，并放弃包含下列字符串的地址：

microsoft

support

software

webmaster

postmaster

admin

利用自带的SMTP引擎发送自身到上述地址，邮件特征：

发件人：从注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Account Manager\\Accounts下发现的邮件地址

主题：RE:

正文：包含http://drs.yahoo.com/<域名>/NEWS链接的内容

5.蠕虫可能发送邮件地址列表到 1@600pics.cjb.net。

6.周期性的执行一个定位到http://pixpox.com的cgi脚本文件。

注：%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me),

C:\\Winnt\\System32 (Windows NT/2000), 或

C:\\Windows\\System32 (Windows XP)。