Zum Inhalt springen

Waledac

aus Wikipedia, der freien Enzyklopädie

Waledac, auch bekannt unter den Namen W32/Waledac und W32/IRCbot-ZG, ist ein Computerwurm, der Ende Dezember 2008 auftauchte. Der Wurm infiziert Computer, auf denen das Betriebssystem Microsoft Windows installiert ist.<ref name="Symantec">Beschreibung des Virus von Symantec (englisch)</ref>

Verbreitungsmethoden

Um weitere Rechner zu infizieren, versendet der Wurm E-Mails, die Kopien von ihm selbst oder Links auf infizierte Webseiten beinhalten.

E-Mails, die jeweils auf Englisch verfasst waren, gingen gelegentlich auch an Schweizer und deutsche E-Mail-Empfänger. In der letzten größeren Spam-Welle, die um den 18. Januar 2009 unterwegs war, behauptete die Spam-Mail, dass Barack Obama nicht als Präsident der Vereinigten Staaten antreten werde. Die Spam-Mails enthalten jeweils einen Link auf eine Webseite, die dann den Trojaner verbreitet.<ref>http://www.abuse.ch/?p=946</ref>

Unter anderem wurden Spam-Mails zu Weihnachten mit folgenden Betreffzeilen versendet:

  • „Free christmas Ecards“
  • „Christmas card from a friend“
  • „Merry Xmas!“

Als Dateianhang werden ausführbare Dateien mit Namen wie „ecard.exe“ oder „run.exe“ verwendet. Es werden aber auch Links zu Webseiten versendet, die den Besucher dazu bringen wollen, eine angebliche Version des Flash Players herunterzuladen. Statt des Players installiert sich jedoch der Computerwurm.

Um den Benutzer dazu zu bringen, sich das Video anzuschauen und damit den Wurm zu installieren, wird mittels Geolocation eine Nachricht über eine Bombenexplosion in der nächstgelegenen Hauptstadt vorgetäuscht.<ref>{{#switch: 

   |0|=Vorlage:Toter Link/Core{{#if: http://www.info-point-security.com/loesungsanbieter/websense/65-hersteller-news/3142-websense-security-labs-neue-waledac-kampagne-mit-angeblicher-reuters-news-im-umlauf.html
       | {{#if:  | [1] }} (Seite {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar{{#if: 2019-05 | , festgestellt im {{#invoke:DateTime|format|2019-05|F Y}} }}. Suche im Internet Archive (T)){{#if: 2019-05-22 11:41:15 InternetArchiveBot
           | {{#if:  | | Vorlage:Toter Link/archivebot }}
         }}
       |   (Seite {{#switch:|no|0|=|#default=dauerhaft }}nicht mehr abrufbar{{#if: 2019-05 | , festgestellt im {{#invoke:DateTime|format|2019-05|F Y}} }}.)
     }}{{#switch: 
         |no|0|=
         |#default={{#if:  ||  }}
    }}{{#invoke:TemplatePar|check
         |opt      = inline= url= text= datum= date= archivebot= bot= botlauf= fix-attempted= checked=
         |cat      = Wikipedia:Vorlagenfehler/Vorlage:Toter Link
         |errNS    = 0
         |template = Vorlage:Toter Link
         |format   = 
         |preview  = 1
    }}{{#if: http://www.info-point-security.com/loesungsanbieter/websense/65-hersteller-news/3142-websense-security-labs-neue-waledac-kampagne-mit-angeblicher-reuters-news-im-umlauf.html
      | {{#if:{{#invoke:URLutil|isWebURL|http://www.info-point-security.com/loesungsanbieter/websense/65-hersteller-news/3142-websense-security-labs-neue-waledac-kampagne-mit-angeblicher-reuters-news-im-umlauf.html}}
          || {{#if:  ||  }} 
        }}
      | {{#if: 
           | {{#if:  ||  }}
           | {{#if:  ||  }}
        }}
    }}{{#if: 2019-05
       | {{#if:{{#invoke:DateTime|format|2019-05|F Y|noerror=1}}
             || {{#if:  ||  }} 
         }}
    }}{{#switch: 
         |checked|deadurl|= 
         |#default=  {{#if:  ||  }}
    }}|#default= https://wiki-de.moshellshocker.dns64.de/index.php?title=Wikipedia:Defekte_Weblinks&dwl=http://www.info-point-security.com/loesungsanbieter/websense/65-hersteller-news/3142-websense-security-labs-neue-waledac-kampagne-mit-angeblicher-reuters-news-im-umlauf.html Die nachstehende Seite ist {{#switch:|no|0|=|dauerhaft }}nicht mehr abrufbar]{{#if: 2019-05 | , festgestellt im {{#invoke:DateTime|format|2019-05|F Y}} }}. (Suche im Internet Archive. (T).)  {{#if: 2019-05-22 11:41:15 InternetArchiveBot
            | {{#if:  | | Vorlage:Toter Link/archivebot }}
         }}Vorlage:Toter Link/Core{{#switch: 
          |no|0|=
          |#default= {{#if:  ||  }}
        }}{{#invoke:TemplatePar|check
         |all      = inline= url=
         |opt      = datum= date= archivebot= bot= botlauf= fix-attempted= checked=
         |cat      = Wikipedia:Vorlagenfehler/Vorlage:Toter Link
         |errNS    = 0
         |template = Vorlage:Toter Link
         |format   = 
         |preview  = 1
       }}{{#if: http://www.info-point-security.com/loesungsanbieter/websense/65-hersteller-news/3142-websense-security-labs-neue-waledac-kampagne-mit-angeblicher-reuters-news-im-umlauf.html
       | {{#if:{{#invoke:URLutil|isWebURL|http://www.info-point-security.com/loesungsanbieter/websense/65-hersteller-news/3142-websense-security-labs-neue-waledac-kampagne-mit-angeblicher-reuters-news-im-umlauf.html}}
          || {{#if:  ||  }} 
        }}
    }}{{#if: 2019-05
         | {{#if:{{#invoke:DateTime|format|2019-05|F Y|noerror=1}}
             || {{#if:  ||  }} 
           }}
    }}{{#switch: 
         |checked|deadurl|= 
         |#default=  {{#if:  ||  }}
    }}[http://www.info-point-security.com/loesungsanbieter/websense/65-hersteller-news/3142-websense-security-labs-neue-waledac-kampagne-mit-angeblicher-reuters-news-im-umlauf.html }}</ref>

Der Quellcode der Webseite verweist auf eine JavaScript-Datei, die angeblich zu Google Analytics gehört. Schaut man sich jedoch den JavaScript-Code der Datei google-analysis.js an, sieht man, dass der Code verschleiert („obfuscated“) ist und einen Drive-By-Exploit beinhaltet.

Die von Waledac für die Verbreitung des Trojaners genutzten Webseiten versuchen den Rechner des Besuchers auf zwei Arten zu infizieren: Zum einen als normaler Datei-Download und zum anderen per Drive-By-Infection. Somit reicht das einfache Betrachten der Webseite, um mit dem Trojaner infiziert zu werden. Der Name der angebotenen .EXE-Datei ändert sich bei jedem Besuch.

Auswirkungen

Wird eine infizierte Datei ausgeführt, erstellt der Wurm folgende Registryeinträge; 

Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\"PromoReg" = "[Pfad zur infizierten Datei]"
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\"RList"
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\"MyID"

Anschließend wird nach E-Mail-Adressen gesucht, die auf dem Rechner gespeichert sind.<ref>Beschreibung des Virus von McAfee (englisch)</ref>

Verbindung zu Conficker

Beobachtungen zeigten, dass spätere Versionen des Wurms Conficker Anfang des Jahres 2009 unter anderem Verbindung zu Domains aufnahm, die bereits mit dem Waledac-Wurm infiziert sind, um den Wurm herunterzuladen. Waledac steht unter dem Verdacht, eine Verbindung zum Storm Botnetz zu haben.<ref><templatestyles src="Webarchiv/styles.css" />{{#if:20090419233534 

      | {{#ifeq: 20090419233534 | *
    | Vorlage:Webarchiv/Wartung/Stern{{#if: Waledac - Nachfolger für Storm gefunden | {{#invoke:WLink|getEscapedTitle|Waledac - Nachfolger für Storm gefunden}} | {{#invoke:Webarchiv|getdomain|http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden}} }} (Archivversionen)
    | {{#iferror: {{#time: j. F Y|20090419233534}}
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/DatumDer Wert des Parameters {{#if: wayback | wayback | Datum }} muss ein gültiger Zeitstempel der Form YYYYMMDDHHMMSS sein!
         | {{#if: Waledac - Nachfolger für Storm gefunden | {{#invoke:WLink|getEscapedTitle|Waledac - Nachfolger für Storm gefunden}} | {{#invoke:Webarchiv|getdomain|http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer }} vom {{#time: j. F Y|20090419233534}} im Internet Archive{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
      }}
  }}
      | {{#if:
          | {{#iferror: {{#time: j. F Y|{{{webciteID}}}}}
    | {{#switch: {{#invoke:Str|len|{{{webciteID}}}}}
       | 16= {{#if: Waledac - Nachfolger für Storm gefunden | {{#invoke:WLink|getEscapedTitle|Waledac - Nachfolger für Storm gefunden}} | {{#invoke:Webarchiv|getdomain|http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer }} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{{webciteID}}}|1|10}}/86400}} }} days}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
       | 9 = {{#if: Waledac - Nachfolger für Storm gefunden | {{#invoke:WLink|getEscapedTitle|Waledac - Nachfolger für Storm gefunden}} | {{#invoke:Webarchiv|getdomain|http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden}} }} {{#ifeq:  | [] | [ | ( }}Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer}} vom {{#time: j. F Y| 19700101000000 + {{#expr: floor {{#expr: {{#invoke:Str|sub|{{#invoke:Expr|base62|{{{webciteID}}}}}|1|10}}/86400}} }} days}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
       | #default= Der Wert des Parameters {{#if: webciteID | webciteID | ID }} muss entweder ein Zeitstempel der Form YYYYMMDDHHMMSS oder ein Schüsselwert mit 9 Zeichen oder eine 16-stellige Zahl sein!Vorlage:Webarchiv/Wartung/webcitation{{#if:  || }}
      }}
    | c|{{{webciteID}}}}} {{#if: Waledac - Nachfolger für Storm gefunden | {{#invoke:WLink|getEscapedTitle|Waledac - Nachfolger für Storm gefunden}} | {{#invoke:Webarchiv|getdomain|http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden}} }} (Memento{{#if: {{#if:  | {{{archiv-bot}}} |  }} |  des Vorlage:Referrer}} vom {{#time: j. F Y|{{{webciteID}}}}} auf WebCite{{#if:  | ;  }}{{#ifeq:  | [] | ] | ) }}
  }}
          | {{#if: 
              | Vorlage:Webarchiv/Today
              | {{#if:
                      | Vorlage:Webarchiv/Generisch
                      | {{#if: Waledac - Nachfolger für Storm gefunden | {{#invoke:WLink|getEscapedTitle|Waledac - Nachfolger für Storm gefunden}} | {{#invoke:Webarchiv|getdomain|http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden}} }}  
                 }}}}}}}}{{#if:
    | Vorlage:Webarchiv/archiv-bot
  }}{{#invoke:TemplatePar|check
     |all      = url=
     |opt      = text= wayback= webciteID= archive-is= archive-today= archiv-url= archiv-datum= ()= archiv-bot= format= original=
     |cat      = Wikipedia:Vorlagenfehler/Vorlage:Webarchiv
     |errNS    = 0
     |template = Vorlage:Webarchiv
     |format   = *
     |preview  = 1
  }}{{#ifexpr: {{#if:20090419233534|1|0}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}}{{#if:|+1}} <> 1
    | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Genau einer der Parameter 'wayback', 'webciteID', 'archive-today', 'archive-is' oder 'archiv-url' muss angegeben werden.|1}}
  }}{{#if: 
    | {{#switch: {{#invoke:Webarchiv|getdomain|{{{archiv-url}}}}}
        | web.archive.org = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von Internet Archive erkannt, bitte Parameter 'wayback' benutzen.|1}} 
        | webcitation.org = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von WebCite erkannt, bitte Parameter 'webciteID' benutzen.|1}} 
        | archive.today |archive.is |archive.ph |archive.fo |archive.li |archive.md |archive.vn = 
          {{#if:  || }}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Im Parameter 'archiv-url' wurde URL von archive.today erkannt, bitte Parameter 'archive-today' benutzen.|1}}
      }}{{#if: 
         | {{#iferror: {{#iferror:{{#invoke:Vorlage:FormatDate|Execute}}|}}
             | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Wert des Parameter 'archiv-datum' ist ungültig oder hat ein ungültiges Format.|1}}
          |  }} 
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Pflichtparameter 'archiv-datum' wurde nicht angegeben.|1}}
      }}
    | {{#if: 
         | {{#if:  || }}Vorlage:Webarchiv/Wartung/Parameter{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Der Parameter 'archiv-datum' ist nur in Verbindung mit 'archiv-url' angebbar.|1}}
      }}
  }}{{#if:{{#invoke:URLutil|isHostPathResource|http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden}}
    || {{#if:  || }}
  }}{{#if: Waledac - Nachfolger für Storm gefunden
    | {{#if: {{#invoke:WLink|isBracketedLink|Waledac - Nachfolger für Storm gefunden}}
        | {{#if:  || }}
      }}
    | {{#if:  || }}Vorlage:Webarchiv/Wartung/Linktext_fehlt
  }}{{#switch: 
    |addlarchives|addlpages= {{#if:  || }}{{#if: 1 |Vorlage:Webarchiv/Wartung/Parameter}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: enWP-Wert im Parameter 'format'.|1}}
  }}{{#ifeq: {{#invoke:Str|find|http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden%7Carchiv}} |-1
    || {{#ifeq: {{#invoke:Str|find|{{#invoke:Str|cropleft|http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden%7C4}}%7Chttp}} |-1
         || {{#switch: {{#invoke:Webarchiv|getdomain|http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden }}
              | abendblatt.de | daserste.ndr.de | inarchive.com | webcitation.org = 
              | #default = {{#if:  || }}{{#if: 1 |Vorlage:Webarchiv/Wartung/URL}}{{#invoke:TemplUtl|failure| Fehler bei Vorlage:Webarchiv: Archiv-URL im Parameter 'url' anstatt URL der Originalquelle. Entferne den vor der Original-URL stehenden Mementobestandteil und setze den Archivierungszeitstempel in den Parameter 'wayback', 'webciteID', 'archive.today' oder 'archive-is' ein, sofern nicht bereits befüllt.|1}}
            }} 
       }}
  }}</ref>

Beseitigung

Waledac lässt sich von allen gängigen Antivirenprogrammen entfernen, wichtig ist hierbei nur, dass die Systemwiederherstellung vorher abgeschaltet wird, da der Wurm sonst über diese wieder hergestellt werden kann.<ref>W32.Waledac - Removal bei Symantec (englisch)</ref>

Einzelnachweise

<references />

Abgerufen von „https://wiki-de.moshellshocker.dns64.de/index.php?title=Waledac&oldid=1631728