Wurm-Alarm: "Wallon" überschreibt den Windows Media Player
Ein neuer Schädling bedroht die Computer: Nachdem immer mehr Nutzer E-Mail-Attachments nur noch zögerlich öffnen, wählt der Wurm "Wallon" eine alternative Verbreitungsmethode. "Wallon" kommt in Form einer HTML-Mail, die anscheinend nur einen Link zu Yahoo enthält, allerdings nur den Umleitungsservice von Yahoo benutzt. Von dort wird die Verbindung allerdings zu einer Seite umgeleitet, von der wiederrum der Wurm in Form der Datei "sys.exe" heruntergeladen wird.
Die Datei "sys.exe" überschreibt nach dem Download das File "wmplayer.exe" des Windows Media Player. "Wallon" selbst wird erst dann wieder aktiv, wenn der Windows Media Player genutzt werden soll: Statt den gewünschten Inhalt abzuspielen, verschickt der Wurm dann Mails an alle auf dem befallenen Rechner gefundenen E-Mail-Adressen. Betroffene Nutzer müssen zuerst den Wurm entfernen und anschließend den Windows Media Player neu installieren.
Der Computer-Schädling missbraucht offenbar eine Sicherheitslücke des Microsoft Internet Explorers, für die aber schon seit Anfang 2004 ein Sicherheitsupdate zur Verfügung steht. Wenn der Benutzer (bzw. die noch ungepatchte Sicherheitslücke) dies zulässt, überschreibt diese Datei die Programmdatei des Windows Media Players (wmplayer.exe) und anstatt des richtigen Media Players wird die Wurm-Datei ausgeführt. (Red.)