https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=WaledacWaledac - Versionsgeschichte2026-05-30T02:05:04ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Waledac&diff=1631728&oldid=previmported>TaxonBot: Bot: Auflösung doppelter toter Links nach https://de.wikipedia.org/w/index.php?title=Wikipedia:Bots/Anfragen&oldid=266185123#Aufl%C3%B6sung_der_doppelten_Toten_Links2026-04-17T15:09:29Z<p>Bot: Auflösung doppelter toter Links nach https://de.wikipedia.org/w/index.php?title=Wikipedia:Bots/Anfragen&oldid=266185123#Aufl%C3%B6sung_der_doppelten_Toten_Links</p>
<p><b>Neue Seite</b></p><div>'''Waledac''', auch bekannt unter den Namen ''W32/Waledac'' und ''W32/IRCbot-ZG'', ist ein [[Computerwurm]], der Ende Dezember 2008 auftauchte. Der Wurm infiziert Computer, auf denen das [[Betriebssystem]] [[Microsoft Windows]] installiert ist.<ref name="Symantec">[https://www.symantec.com/security_response/writeup.jsp?docid=2008-122308-1429-99 Beschreibung des Virus] von [[Broadcom Inc.|Symantec]] (englisch)</ref><br />
<br />
== Verbreitungsmethoden ==<br />
Um weitere Rechner zu infizieren, versendet der Wurm [[E-Mail]]s, die Kopien von ihm selbst oder Links auf infizierte Webseiten beinhalten.<br />
<br />
E-Mails, die jeweils auf Englisch verfasst waren, gingen gelegentlich auch an Schweizer und deutsche E-Mail-Empfänger. In der letzten größeren Spam-Welle, die um den 18. Januar 2009 unterwegs war, behauptete die Spam-Mail, dass [[Barack Obama]] nicht als Präsident der Vereinigten Staaten antreten werde. Die Spam-Mails enthalten jeweils einen Link auf eine Webseite, die dann den Trojaner verbreitet.<ref>http://www.abuse.ch/?p=946</ref><br />
<br />
Unter anderem wurden [[Spam]]-Mails zu Weihnachten mit folgenden Betreffzeilen versendet:<br />
<br />
* „Free christmas Ecards“<br />
* „Christmas card from a friend“<br />
* „Merry Xmas!“<br />
<br />
Als Dateianhang werden ausführbare Dateien mit Namen wie „ecard.exe“ oder „run.exe“ verwendet. Es werden aber auch Links zu Webseiten versendet, die den Besucher dazu bringen wollen, eine angebliche Version des [[Adobe Flash|Flash Players]] herunterzuladen. Statt des Players installiert sich jedoch der Computerwurm.<br />
<br />
Um den Benutzer dazu zu bringen, sich das Video anzuschauen und damit den Wurm zu installieren, wird mittels [[Geotargeting|Geolocation]] eine Nachricht über eine Bombenexplosion in der nächstgelegenen Hauptstadt vorgetäuscht.<ref>{{Toter Link |datum=2019-05 |url=http://www.info-point-security.com/loesungsanbieter/websense/65-hersteller-news/3142-websense-security-labs-neue-waledac-kampagne-mit-angeblicher-reuters-news-im-umlauf.html |text= |archivebot=2019-05-22 11:41:15 InternetArchiveBot}}</ref><br />
<br />
Der Quellcode der Webseite verweist auf eine JavaScript-Datei, die angeblich zu [[Google Analytics]] gehört. Schaut man sich jedoch den JavaScript-Code der Datei ''google-analysis.js'' an, sieht man, dass der Code [[Obfuskation (Software)|verschleiert]] („obfuscated“) ist und einen Drive-By-[[Exploit]] beinhaltet.<br />
<br />
Die von Waledac für die Verbreitung des Trojaners genutzten Webseiten versuchen den Rechner des Besuchers auf zwei Arten zu infizieren: Zum einen als normaler Datei-Download und zum anderen per [[Drive-By-Infection]]. Somit reicht das einfache Betrachten der Webseite, um mit dem Trojaner infiziert zu werden. Der Name der angebotenen .EXE-Datei ändert sich bei jedem Besuch.<br />
<br />
== Auswirkungen ==<br />
Wird eine infizierte [[Datei]] ausgeführt, erstellt der Wurm folgende [[Windows-Registrierungsdatenbank|Registryeinträge]];<br />
<br />
Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\"PromoReg" = "[Pfad zur infizierten Datei]"<br />
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\"RList"<br />
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\"MyID"<br />
<br />
Anschließend wird nach E-Mail-Adressen gesucht, die auf dem Rechner gespeichert sind.<ref>[http://web.archive.org/web/20090123072404/http://vil.nai.com/vil/content/v_153670.htm Beschreibung des Virus] von [[McAfee]] (englisch)</ref><br />
<br />
== Verbindung zu Conficker ==<br />
Beobachtungen zeigten, dass spätere Versionen des Wurms [[Conficker]] Anfang des Jahres 2009 unter anderem Verbindung zu Domains aufnahm, die bereits mit dem Waledac-Wurm infiziert sind, um den Wurm herunterzuladen. Waledac steht unter dem Verdacht, eine Verbindung zum [[Storm Botnet]]z zu haben.<ref>{{Webarchiv | url=http://www.protectletter.de/waledac-nachfolger-fur-storm-gefunden | wayback=20090419233534 | text=Waledac - Nachfolger für Storm gefunden}}</ref><br />
<br />
== Beseitigung ==<br />
Waledac lässt sich von allen gängigen [[Antivirenprogramm]]en entfernen, wichtig ist hierbei nur, dass die [[Systemwiederherstellung]] vorher abgeschaltet wird, da der Wurm sonst über diese wieder hergestellt werden kann.<ref>[https://www.symantec.com/security_response/writeup.jsp?docid=2008-122308-1429-99&tabid=3 W32.Waledac - Removal] bei Symantec (englisch)</ref><br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:Schadprogramm]]<br />
[[Kategorie:Bot-Netze]]<br />
[[Kategorie:Computerwurm]]</div>imported>TaxonBot