L'ennesimo mass-mailing worm ha fatto la sua comparsa. Si tratta di Wallon e, a giudicare dall'attenzione delle case di produzione di software antivirus, non ha ancora raggiunto un livello di diffusione critica. Wallon ha tuttavia delle caratteristiche che lo rendono potenzialmente molto pericoloso.

Il worm non si propaga come allegato ma come messaggio di posta elettronica Html. Il messaggio contiene al suo interno un link che trae in inganno facendo credere di cliccare su un collegamento a una news di Yahoo. In realtà il collegamento, costruito nel seguente modo http://drs.yahoo.com//NEWS, porta il browser del malcapitato utente su una pagina contenente uno script in grado di azionare il worm.

Secondo Symantec la pagina sfrutta una vulnerabilità documentata di Internet Explorer per scaricare un eseguibile sys.exe che sovrascrive wmplayer.exe, cioè Windows Media Player.

Non contento, il worm crea una chiave di registro [HKCU\SOFTWARE\Microsoft\Internet Explorer\Main]"Wh"="Yes" che porta all'apertura da parte di Internet Explorer di un sito pornografico.

Wallon provvede anche a inviare un messaggio vuoto da ogni computer infetto a un indirizzo di posta, tecnica utilizzata probabilmente per inondare di spam i malcapitati, anche a infezione debellata.

La cattura degli indirizzi mail fa riflettere ancora una volta sullo stretto legame tra spam e virus. Sempre di più i worm odierni sembrano infatti confezionati ad arte per fornire indirizzi utili agli spammer più accaniti e senza scrupoli.