De acuerdo con expertos del laboratorio global de
investigación de Trend Micro, el atacante oculta la dirección URL verdadera de
una página Web para propagar este virus que provocó alerta amarilla.
El WORM_WALLON.A crea en el registro la entrada
HKEY_CURRENT_USER\software\Microsoft\ y realiza una rutina de envío masivo de
correo electrónico con una liga que al ser accionada se redirecciona a un sitio
pornográfico.
Entonces, se descarga un archivo WMPLAYER.EXE en la carpeta
del reproductor de Windows Media, cuando el archivo se ejecuta inicia a su vez
la descarga de otro denominado ALPHA.EXE el cual queda alojado en el directorio
raíz de la computadora.
Así, queda en la memoria de la computadora y continuamente
abre páginas pornográficas o publicitarias en la terminal infectada.
|