Waledac

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Waledac, auch bekannt unter den Namen W32/Waledac und W32/IRCbot-ZG, ist ein Computerwurm, der Ende Dezember 2008 auftauchte. Der Wurm infiziert Computer, auf denen das Betriebssystem Microsoft Windows installiert ist.[1]

Verbreitungsmethoden[Bearbeiten]

Um weitere Rechner zu infizieren, versendet der Wurm E-Mails, die Kopien von ihm selbst oder Links auf infizierte Webseiten beinhalten.

E-Mails, die jeweils auf Englisch verfasst waren, gingen gelegentlich auch an Schweizer und deutsche E-Mail-Empfänger. In der letzten größeren Spam-Welle, die um den 18. Januar 2009 unterwegs war, behauptete die Spam-Mail, dass Barack Obama nicht als Präsident der Vereinigten Staaten antreten werde. Die Spam-Mails enthalten jeweils einen Link auf eine Webseite, die dann den Trojaner verbreitet.[2]

Unter anderem wurden Spam-Mails zu Weihnachten mit folgenden Betreffzeilen versendet:

  • „Free christmas Ecards“
  • „Christmas card from a friend“
  • „Merry Xmas!“

Als Dateianhang werden ausführbare Dateien mit Namen wie „ecard.exe“ oder „run.exe“ verwendet. Es werden aber auch Links zu Webseiten versendet, die den Besucher dazu bringen wollen, eine angebliche Version des Flash Players herunterzuladen. Statt des Players installiert sich jedoch der Computerwurm.

Um den Benutzer dazu zu bringen, sich das Video anzuschauen und damit den Wurm zu installieren, wird mittels Geolocation eine Nachricht über eine Bombenexplosion in der nächstgelegenen Hauptstadt vorgetäuscht.[3]

Der Quellcode der Webseite verweist auf eine JavaScript-Datei, die angeblich zu Google Analytics gehört. Schaut man sich jedoch den JavaScript-Code der Datei google-analysis.js an, sieht man, dass der Code verschleiert („obfuscated“) ist und einen Drive-By-Exploit beinhaltet.

Die von Waledac für die Verbreitung des Trojaners genutzten Webseiten versuchen den Rechner des Besuchers auf zwei Arten zu infizieren: Zum einen als normaler Datei-Download und zum anderen per Drive-By-Infection. Somit reicht das einfache Betrachten der Webseite, um mit dem Trojaner infiziert zu werden. Der Name der angebotenen .EXE-Datei ändert sich bei jedem Besuch.

Auswirkungen[Bearbeiten]

Wird eine infizierte Datei ausgeführt, erstellt der Wurm folgende Registryeinträge;

Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\"PromoReg" = "[Pfad zur infizierten Datei]"
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\"RList"
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\"MyID"

Anschließend wird nach E-Mail-Adressen gesucht, die auf dem Rechner gespeichert sind.[4]

Verbindung zu Conficker[Bearbeiten]

Beobachtungen zeigten, dass Conficker unter anderem Verbindung zu Domains aufnahm, die bereits mit dem Waledac-Wurm infiziert sind, um den Wurm herunterzuladen. Waledac steht unter dem Verdacht, eine Verbindung zum Storm Botnetz zu haben.[5]

Beseitigung[Bearbeiten]

Waledac lässt sich von allen gängigen Antivirenprogrammen entfernen, wichtig ist hierbei nur, dass die Systemwiederherstellung vorher abgeschaltet wird, da der Wurm sonst über diese wieder hergestellt werden kann.[6]

Einzelnachweise[Bearbeiten]

  1. http://www.symantec.com/security_response/writeup.jsp?docid=2008-122308-1429-99&tabid=1
  2. http://www.abuse.ch/?p=946
  3. http://www.info-point-security.com/loesungsanbieter/websense/65-hersteller-news/3142-websense-security-labs-neue-waledac-kampagne-mit-angeblicher-reuters-news-im-umlauf.html
  4. http://vil.nai.com/vil/content/v_153670.htm
  5. http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden/
  6. http://www.symantec.com/security_response/writeup.jsp?docid=2008-122308-1429-99&tabid=3

Weblinks[Bearbeiten]