A Waledac.AJ trójai főleg Valentin napi üzenetek formájában, elektronikus levelek útján terjed, és különféle kártékony programokkal árasztja el a fertőzött számítógépeket.
A Waledac.AJ trójai az esetek nagy részében elektronikus levelek révén próbálja rávenni a felhasználókat arra, hogy az üzenetekben szereplő hivatkozásra kattintsanak. Amennyiben ez sikerül számára, akkor egy kártékony weboldal nyílik meg, amelyről letölthetővé válnak a trójai állományai.
A számítógépes kártevő legfontosabb feladata, hogy a helyi, a cserélhető és a hálózati meghajtókon található állományok tartalmának alapos feltérképezésével minél több e-mail címet gyűjtsön össze. A megszerzett címeket előre meghatározott, távoli szerverekre tölti fel, sok esetben titkosított formában.
A Waledac.AJ további veszélye, hogy a fertőzött rendszerekre — sokszor JPG formátumú képnek látszó — állományokat töltöget le, amelyek valójában további trójai programokat rejtenek.
A Waledac.AJ trójai többek között olyan e-mailekben terjed, amelyek tárgya lehet:
- [feladó neve] has sent you a Valentine\\”s Day E-Card!
- A Valentine\\”s Day E-Card from [feladó neve]
- Greetings from [feladó neve]
A trójai a következő fájlneveket használja a terjedése során:
- Card.exe
- cardviewer.exe
- devkit.exe
- download.exe
- ecard.exe
- install.exe
- lovecard.exe
- lovekit.exe
- loveprogramm.exe
- Loveu.exe
- Luv.exe
- Programm.exe
- vcard.exe
- viewer.exe
Amikor a Waledac.AJ trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a regisztrációs adatbázisban a következő bejegyzést:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg =
“[a trójai elérési útvonala]” - A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKCU\Software\Microsoft\Windows\CurrentVersion\RList =
“[véletlenszerű karakterek]”
HKCU\Software\Microsoft\Windows\CurrentVersion\MyID =
“[véletlenszerű karakterek]”
HKCU\Software\Microsoft\Windows\CurrentVersion\FWDone =
“[véletlenszerű karakterek]”
HKCU\Software\Microsoft\Windows\CurrentVersion\LastCommandId =
“[véletlenszerű karakterek]” - E-mail címeket gyűjt össze különböző kiterjesztésű állományokból, majd feltölti azokat egy távoli szerverre. A trójai a helyi, a cserélhető és a hálózati meghajtókon is felkutatja az elérhető címeket.
- Az összegyűjtött adatokat titkosított módon, .htm, .php vagy .png kiterjesztéssel rendelkező fájlok formájában tölti fel a távoli szerverekre.
- Interneten keresztül különféle állományokat tölt le, amelyek között fertőzött fájlok is megtalálhatók. Egyes esetekben a letöltött állományok .jpg kiterjesztéssel rendelkeznek, és egy képnek látszanak. Azonban a valóságban egy másik trójait rejtenek.