Vírushíradó – Valentin napi levelekkel csábít a Waledac trójai

A Waledac.AJ trójai főleg Valentin napi üzenetek formájában, elektronikus levelek útján terjed, és különféle kártékony programokkal árasztja el a fertőzött számítógépeket.

A Waledac.AJ trójai az esetek nagy részében elektronikus levelek révén próbálja rávenni a felhasználókat arra, hogy az üzenetekben szereplő hivatkozásra kattintsanak. Amennyiben ez sikerül számára, akkor egy kártékony weboldal nyílik meg, amelyről letölthetővé válnak a trójai állományai.

A számítógépes kártevő legfontosabb feladata, hogy a helyi, a cserélhető és a hálózati meghajtókon található állományok tartalmának alapos feltérképezésével minél több e-mail címet gyűjtsön össze. A megszerzett címeket előre meghatározott, távoli szerverekre tölti fel, sok esetben titkosított formában.

A Waledac.AJ további veszélye, hogy a fertőzött rendszerekre — sokszor JPG formátumú képnek látszó —  állományokat töltöget le, amelyek valójában további trójai programokat rejtenek.

A Waledac.AJ trójai többek között olyan e-mailekben terjed, amelyek tárgya lehet:

• [feladó neve] has sent you a Valentine\\”s Day E-Card!
• A Valentine\\”s Day E-Card from [feladó neve]
• Greetings from [feladó neve]

A trójai a következő fájlneveket használja a terjedése során:

• Card.exe
• cardviewer.exe
• devkit.exe
• download.exe
• ecard.exe
• install.exe
• lovecard.exe
• lovekit.exe
• loveprogramm.exe
• Loveu.exe
• Luv.exe
• Programm.exe
• vcard.exe
• viewer.exe

Amikor a Waledac.AJ trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a regisztrációs adatbázisban a következő bejegyzést:
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg =
   “[a trójai elérési útvonala]”
2. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
   HKCU\Software\Microsoft\Windows\CurrentVersion\RList =
   “[véletlenszerű karakterek]”
   HKCU\Software\Microsoft\Windows\CurrentVersion\MyID =
   “[véletlenszerű karakterek]”
   HKCU\Software\Microsoft\Windows\CurrentVersion\FWDone =
   “[véletlenszerű karakterek]”
   HKCU\Software\Microsoft\Windows\CurrentVersion\LastCommandId =
   “[véletlenszerű karakterek]”
3. E-mail címeket gyűjt össze különböző kiterjesztésű állományokból, majd feltölti azokat egy távoli szerverre. A trójai a helyi, a cserélhető és a hálózati meghajtókon is felkutatja az elérhető címeket.
4. Az összegyűjtött adatokat titkosított módon, .htm, .php vagy .png kiterjesztéssel rendelkező fájlok formájában tölti fel a távoli szerverekre.
5. Interneten keresztül különféle állományokat tölt le, amelyek között fertőzött fájlok is megtalálhatók. Egyes esetekben a letöltött állományok .jpg kiterjesztéssel rendelkeznek, és egy képnek látszanak. Azonban a valóságban egy másik trójait rejtenek.