A Waledac.AJ trójai főleg Valentin napi üzenetek formájában, elektronikus levelek útján terjed, és különféle kártékony programokkal árasztja el a fertőzött számítógépeket.

A Waledac.AJ trójai az esetek nagy részében elektronikus levelek révén próbálja rávenni a felhasználókat arra, hogy az üzenetekben szereplő hivatkozásra kattintsanak. Amennyiben ez sikerül számára, akkor egy kártékony weboldal nyílik meg, amelyről letölthetővé válnak a trójai állományai.

A számítógépes kártevő legfontosabb feladata, hogy a helyi, a cserélhető és a hálózati meghajtókon található állományok tartalmának alapos feltérképezésével minél több e-mail címet gyűjtsön össze. A megszerzett címeket előre meghatározott, távoli szerverekre tölti fel, sok esetben titkosított formában.

A Waledac.AJ további veszélye, hogy a fertőzött rendszerekre — sokszor JPG formátumú képnek látszó —  állományokat töltöget le, amelyek valójában további trójai programokat rejtenek.

A Waledac.AJ trójai többek között olyan e-mailekben terjed, amelyek tárgya lehet:

  • [feladó neve] has sent you a Valentine\\”s Day E-Card!
  • A Valentine\\”s Day E-Card from [feladó neve]
  • Greetings from [feladó neve]

A trójai a következő fájlneveket használja a terjedése során:

  • Card.exe
  • cardviewer.exe
  • devkit.exe
  • download.exe
  • ecard.exe
  • install.exe
  • lovecard.exe
  • lovekit.exe
  • loveprogramm.exe
  • Loveu.exe
  • Luv.exe
  • Programm.exe
  • vcard.exe
  • viewer.exe

Vírushíradó - Valentin napi levelekkel csábít a Waledac trójai

Amikor a Waledac.AJ trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a regisztrációs adatbázisban a következő bejegyzést:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg =
    “[a trójai elérési útvonala]”
  2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
    HKCU\Software\Microsoft\Windows\CurrentVersion\RList =
    “[véletlenszerű karakterek]”
    HKCU\Software\Microsoft\Windows\CurrentVersion\MyID =
    “[véletlenszerű karakterek]”
    HKCU\Software\Microsoft\Windows\CurrentVersion\FWDone =
    “[véletlenszerű karakterek]”
    HKCU\Software\Microsoft\Windows\CurrentVersion\LastCommandId =
    “[véletlenszerű karakterek]”
  3. E-mail címeket gyűjt össze különböző kiterjesztésű állományokból, majd feltölti azokat egy távoli szerverre. A trójai a helyi, a cserélhető és a hálózati meghajtókon is felkutatja az elérhető címeket.
  4. Az összegyűjtött adatokat titkosított módon, .htm, .php vagy .png kiterjesztéssel rendelkező fájlok formájában tölti fel a távoli szerverekre.
  5. Interneten keresztül különféle állományokat tölt le, amelyek között fertőzött fájlok is megtalálhatók. Egyes esetekben a letöltött állományok .jpg kiterjesztéssel rendelkeznek, és egy képnek látszanak. Azonban a valóságban egy másik trójait rejtenek.