Waledac

Waledac

Waledac, auch bekannt unter den Namen W32/Waledac und W32/IRCbot-ZG, ist ein Computerwurm, der Ende Dezember 2008 auftauchte. Der Wurm infiziert Computer, auf denen das Betriebssystem Microsoft Windows installiert ist.[1]

Inhaltsverzeichnis

Verbreitungsmethoden

Um weitere Rechner zu infizieren, versendet der Wurm E-Mails, die Kopien von ihm selbst oder Links auf infizierte Webseiten beinhalten.

E-Mails, die jeweils auf Englisch verfasst waren, gingen gelegentlich auch an Schweizer und deutsche E-Mail-Empfänger. In der letzten größeren Spam-Welle, die um den 18. Januar 2009 unterwegs war, behauptete die Spam-Mail, dass Barack Obama nicht als Präsident der Vereinigten Staaten antreten werde. Die Spam-Mails enthalten jeweils einen Link auf eine Webseite, die dann den Trojaner verbreitet. [2]

Unter anderem wurden Spam-Mails zu Weihnachten mit folgenden Betreffzeilen versendet:

  • „Free christmas Ecards“
  • „Christmas card from a friend“
  • „Merry Xmas!“

Als Dateianhang werden ausführbare Dateien mit Namen wie „ecard.exe“ oder „run.exe“ verwendet. Es werden aber auch Links zu Webseiten versendet, die den Besucher dazu bringen wollen, eine angebliche Version des Flash Players herunterzuladen. Statt des Players installiert sich jedoch der Computerwurm.

Um den Benutzer dazu zu bringen, sich das Video anzuschauen und damit den Wurm zu installieren, wird mittels Geolocation eine Nachricht über eine Bombenexplosion in der nächstgelegenen Hauptstadt vorgetäuscht.[3]

Der Quellcode der Webseite verweist auf eine JavaScript-Datei, die angeblich zu Google Analytics gehört. Schaut man sich jedoch den JavaScript-Code der Datei google-analysis.js an, sieht man, dass der Code verschleiert („obfuscated“) ist und einen Drive-By-Exploit beinhaltet.

Die von Waledac für die Verbreitung des Trojaners genutzten Webseiten versuchen den Rechner des Besuchers auf zwei Arten zu infizieren: Zum einem als normaler Datei-Download und zum anderen per Drive-By-Infection. Somit reicht das einfache Betrachten der Webseite, um mit dem Trojaner infiziert zu werden. Der Name der angebotenen .EXE-Datei ändert sich bei jedem Besuch.

Auswirkungen

Wird eine infizierte Datei ausgeführt, erstellt der Wurm folgende Registryeinträge;

Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\"PromoReg" = "[Pfad zur infizierten Datei]"
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\"RList"
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\"MyID"

Anschließend wird nach E-Mail-Adressen gesucht, die auf dem Rechner gespeichert sind.[4]

Verbindung zu Conficker

Beobachtungen zeigten, dass Conficker unter anderem Verbindung zu Domains aufnahm, die bereits mit dem Waledac-Wurm infiziert sind, um den Wurm herunterzuladen. Waledac steht unter dem Verdacht, eine Verbindung zum Storm Botnetz zu haben.[5]

Beseitigung

Waledac lässt sich von allen gängigen Antivirenprogrammen entfernen, wichtig ist hierbei nur, dass die Systemwiederherstellung vorher abgeschaltet wird, da der Wurm sonst über diese wieder hergestellt werden kann.[6]

Einzelnachweise

  1. http://www.symantec.com/security_response/writeup.jsp?docid=2008-122308-1429-99&tabid=1
  2. http://www.abuse.ch/?p=946
  3. http://www.info-point-security.com/loesungsanbieter/websense/65-hersteller-news/3142-websense-security-labs-neue-waledac-kampagne-mit-angeblicher-reuters-news-im-umlauf.html
  4. http://vil.nai.com/vil/content/v_153670.htm
  5. http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden/
  6. http://www.symantec.com/security_response/writeup.jsp?docid=2008-122308-1429-99&tabid=3

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Conf*cker — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Downadup — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Downup — Conficker (auch bekannt unter Downup, Downadup, Kido und Worm.Win32/Conficker) ist ein Computerwurm, der Oktober 2008 auftauchte. Er infiziert mit dem Betriebssystem Microsoft Windows ausgerüstete Computer, wobei hauptsächlich die Version Windows …   Deutsch Wikipedia

  • Conficker — Common name Aliases Mal/Conficker A(Sophos) Win32/Conficker.A (CA) W32.Downadup (Symantec) W32/Downadup.A (F Secure) Conficker.A (Panda) Net Worm.Win32.Kido.bt ( …   Wikipedia

  • Conficker — (auch bekannt unter Downup, Downadup, kido und Worm.Win32/Conficker) ist ein Computerwurm, der erstmals im November 2008 registriert wurde. [1] Der Wurm soll auch als Dumprep bekannt sein. Im Zusammenhang mit Dumprep existiert das Problem, dass… …   Deutsch Wikipedia

  • Botnet — Un botnet est un ensemble de bots informatiques qui sont reliés entre eux. Historiquement, ce terme s est d abord confondu avec des robots IRC (bien que le terme ne se limitait pas à cet usage spécifique), qui était un type de botnet particulier… …   Wikipédia en Français

  • Storm botnet — The typical lifecycle of spam that originates from a botnet: (1) Spammer s web site (2) Spammer (3) Spamware (4) Infected computers (5) Virus or trojan (6) Mail servers (7) Users (8) Web traffic The Storm… …   Wikipedia

  • Botnet — Ablauf der Entstehung und Verwendung von Botnetzen: 1. Infizierung ungeschützter Computer, 2. Eingliederung in das Botnet, 3. Botnetbetreiber verkauft Dienste des Botnets, 4./5. Ausnutzung des Botsnets, etwa für den Versand von Spam Ein Botnet… …   Deutsch Wikipedia

  • Botnet Srizbi — Le botnet Srizbi, aussi connu sous les noms de Cbepblay et Exchanger, est réputé être le plus grand ou le deuxième plus grand botnet et est responsable de la transmission de la moitié du spam qui transite par l ensemble des botnets… …   Wikipédia en Français

  • Botnet Storm — Demande de traduction Storm botnet → …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”