Sasser n’est pas encore mort que déjà, les éditeurs de sécurité nous signalent la prolifération préoccupante du ver Wallon, apparu ce mardi 11 mai sur les réseaux. F-Secure le classe en ‘Level 2’, soit le deuxième niveau d’alerte le plus élevé.

Le virus se propage via les e-mails. Contrairement à d’autres virus ‘mass-mailer’, Wallon ne contient pas un fichier attaché. Son astuce est qu’il contient un faux lien Yahoo qui prend la forme suivante:

http://drs.yahoo.com/nom de domaine connu/NEWS.

En cliquant sur le lien, un script est téléchargé (« terra.html ») qui permet d’aspirer et d’exécuter un autre élément du virus (« sys.chm »). L’exécution de ce fichier télécharge « sys.exe » qui écrase le fichier Windows Media Player (« wmplayer.exe »).

A chaque ouverture du lecteur multimédia de Microsoft, ce module « sys.exe » est exécuté sur le système. Ce programme a pour objectif de télécharger un fichier appellé « NOT.EXE » qui remplace dans la racine du répertoire ‘C:/’ le programme « ALPHA.EXE ». Ce « sys.exe » modifie également la page de démarrage d’Internet Explorer pour la faire pointer vers Google.com ou un autre moteur, « Super-fast-search.apsua.com. »