Waledac

Waledac, auch bekannt unter den Namen W32/Waledac und W32/IRCbot-ZG, ist ein Computerwurm, der Ende Dezember 2008 auftauchte. Der Wurm infiziert Computer, auf denen das Betriebssystem Microsoft Windows installiert ist.^[1]

Verbreitungsmethoden

Um weitere Rechner zu infizieren, versendet der Wurm E-Mails, die Kopien von ihm selbst oder Links auf infizierte Webseiten beinhalten.

E-Mails, die jeweils auf Englisch verfasst waren, gingen gelegentlich auch an Schweizer und deutsche E-Mail-Empfänger. In der letzten größeren Spam-Welle, die um den 18. Januar 2009 unterwegs war, behauptete die Spam-Mail, dass Barack Obama nicht als Präsident der Vereinigten Staaten antreten werde. Die Spam-Mails enthalten jeweils einen Link auf eine Webseite, die dann den Trojaner verbreitet. ^[2]

Unter anderem wurden Spam-Mails zu Weihnachten mit folgenden Betreffzeilen versendet:

• „Free christmas Ecards“
• „Christmas card from a friend“
• „Merry Xmas!“

Als Dateianhang werden ausführbare Dateien mit Namen wie „ecard.exe“ oder „run.exe“ verwendet. Es werden aber auch Links zu Webseiten versendet, die den Besucher dazu bringen wollen, eine angebliche Version des Flash Players herunterzuladen. Statt des Players installiert sich jedoch der Computerwurm.

Um den Benutzer dazu zu bringen, sich das Video anzuschauen und damit den Wurm zu installieren, wird mittels Geolocation eine Nachricht über eine Bombenexplosion in der nächstgelegenen Hauptstadt vorgetäuscht.^[3]

Der Quellcode der Webseite verweist auf eine JavaScript-Datei, die angeblich zu Google Analytics gehört. Schaut man sich jedoch den JavaScript-Code der Datei google-analysis.js an, sieht man, dass der Code verschleiert („obfuscated“) ist und einen Drive-By-Exploit beinhaltet.

Die von Waledac für die Verbreitung des Trojaners genutzten Webseiten versuchen den Rechner des Besuchers auf zwei Arten zu infizieren: Zum einem als normaler Datei-Download und zum anderen per Drive-By-Infection. Somit reicht das einfache Betrachten der Webseite, um mit dem Trojaner infiziert zu werden. Der Name der angebotenen .EXE-Datei ändert sich bei jedem Besuch.

Auswirkungen

Wird eine infizierte Datei ausgeführt, erstellt der Wurm folgende Registryeinträge;

Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\"PromoReg" = "[Pfad zur infizierten Datei]"
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\"RList"
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\"MyID"

Anschließend wird nach E-Mail-Adressen gesucht, die auf dem Rechner gespeichert sind.^[4]

Verbindung zu Conficker

Beobachtungen zeigten, dass Conficker unter anderem Verbindung zu Domains aufnahm, die bereits mit dem Waledac-Wurm infiziert sind, um den Wurm herunterzuladen. Waledac steht unter dem Verdacht, eine Verbindung zum Storm Botnetz zu haben.^[5]

Beseitigung

Waledac lässt sich von allen gängigen Antivirenprogrammen entfernen, wichtig ist hierbei nur, dass die Systemwiederherstellung vorher abgeschaltet wird, da der Wurm sonst über diese wieder hergestellt werden kann.^[6]

Einzelnachweise

1. ↑ http://www.symantec.com/security_response/writeup.jsp?docid=2008-122308-1429-99&tabid=1
2. ↑ http://www.abuse.ch/?p=946
3. ↑ http://www.info-point-security.com/loesungsanbieter/websense/65-hersteller-news/3142-websense-security-labs-neue-waledac-kampagne-mit-angeblicher-reuters-news-im-umlauf.html
4. ↑ http://vil.nai.com/vil/content/v_153670.htm
5. ↑ http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden/
6. ↑ http://www.symantec.com/security_response/writeup.jsp?docid=2008-122308-1429-99&tabid=3

Weblinks

• Beschreibung des Virus von McAfee (englisch)
• Beschreibung des Virus von Symantec (englisch)