Vírushíradó – Valentin napi levelekkel csábít a Waledac trójai
A Waledac.AJ trójai főleg Valentin napi üzenetek formájában, elektronikus levelek útján terjed, és különféle kártékony programokkal árasztja el a fertőzött számítógépeket.
A Waledac.AJ trójai az esetek nagy részében elektronikus levelek révén próbálja rávenni a felhasználókat arra, hogy az üzenetekben szereplő hivatkozásra kattintsanak. Amennyiben ez sikerül számára, akkor egy kártékony weboldal nyílik meg, amelyről letölthetővé válnak a trójai állományai.
A számítógépes kártevő legfontosabb feladata, hogy a helyi, a cserélhető és a hálózati meghajtókon található állományok tartalmának alapos feltérképezésével minél több e-mail címet gyűjtsön össze. A megszerzett címeket előre meghatározott, távoli szerverekre tölti fel, sok esetben titkosított formában.
A Waledac.AJ további veszélye, hogy a fertőzött rendszerekre — sokszor JPG formátumú képnek látszó — állományokat töltöget le, amelyek valójában további trójai programokat rejtenek.
A Waledac.AJ trójai többek között olyan e-mailekben terjed, amelyek tárgya lehet:
-
[feladó neve] has sent you a Valentine\\”s Day E-Card!
-
A Valentine\\”s Day E-Card from [feladó neve]
-
Greetings from [feladó neve]
A trójai a következő fájlneveket használja a terjedése során:
-
Card.exe
-
cardviewer.exe
-
devkit.exe
-
download.exe
-
ecard.exe
-
install.exe
-
lovecard.exe
-
lovekit.exe
-
loveprogramm.exe
-
Loveu.exe
-
Luv.exe
-
Programm.exe
-
vcard.exe
-
viewer.exe
Amikor a Waledac.AJ trójai elindul, akkor az alábbi műveleteket hajtja végre:
-
Létrehozza a regisztrációs adatbázisban a következő bejegyzést:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg =
“[a trójai elérési útvonala]” -
A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKCU\Software\Microsoft\Windows\CurrentVersion\RList =
“[véletlenszerű karakterek]”
HKCU\Software\Microsoft\Windows\CurrentVersion\MyID =
“[véletlenszerű karakterek]”
HKCU\Software\Microsoft\Windows\CurrentVersion\FWDone =
“[véletlenszerű karakterek]”
HKCU\Software\Microsoft\Windows\CurrentVersion\LastCommandId =
“[véletlenszerű karakterek]” -
E-mail címeket gyűjt össze különböző kiterjesztésű állományokból, majd feltölti azokat egy távoli szerverre. A trójai a helyi, a cserélhető és a hálózati meghajtókon is felkutatja az elérhető címeket.
-
Az összegyűjtött adatokat titkosított módon, .htm, .php vagy .png kiterjesztéssel rendelkező fájlok formájában tölti fel a távoli szerverekre.
-
Interneten keresztül különféle állományokat tölt le, amelyek között fertőzött fájlok is megtalálhatók. Egyes esetekben a letöltött állományok .jpg kiterjesztéssel rendelkeznek, és egy képnek látszanak. Azonban a valóságban egy másik trójait rejtenek.