"Attention ! Vous venez de recevoir le virus « Wallon », le premier virus belge. Comme nous autres Belges n'avons pas d'expérience dans le domaine de la programmation, ce virus fonctionne sur le principe de l'HONNEUR".
au sommaire
Le virus Wallon : une fausse histoire belge
Vous êtes donc prié d'envoyer ce message à tous les correspondants de votre carnet d'adresses et d'effacer manuellement tous les fichiers de votre disque dur.
Merci de votre coopération.
Nos amis belges de l'équipe de Futura-Sciences apprécieront à sa juste valeur cet humour, mais c'est même publié sur des sites belges.
Malheureusement, il existe depuis le 11/05/2004 un vrai ver Wallon, avec deux variantes (A et B). Il est décrit ici parce qu'il utilise une méthode d'infection peu connue du public.
Ce ver envoie un mail ayant pour objet "RE :" et contenant uniquement un lien de type
http://drs.yahoo.com/******.com/NEWS (le mail ne contient pas le ver).
Si on clique sur ce lien on est dirigé vers une page piégée qui peut charger le ver, par un processus un peu compliqué, si l'utilisateur n'a pas un Outlook Express et un Internet Explorer à jour (exploitation de la vulnérabilité connue sous le nom MHTML URL Processing).
Le virus se substitue alors au lecteur Windows Media Player, s'envoie à toutes les adresses e-mail présentes dans le carnet d'adresses Windows et envoie une copie de ces adresses à l'auteur du virus, probablement pour construire une base de spams.
Il remplace également la page de recherche d'Internet Explorer par www.googlegoogle.com.super-fast-search.apsua.com et tente d'ouvrir à plusieurs reprises une fenêtrefenêtre vers un site pornographique.
Prévention :
Avoir fait une mise à jour sur Windows Update après le 13/04/2004.
Désinfection :
Utiliser un antivirusantivirus à jour à la date de la désinfection.