Virus Messenger - trojský kůň Waledac svede dopisy na Valentýna

Trojan Waledac.AJ se šíří především ve formě zpráv na Valentýna prostřednictvím e -mailu a zaplavuje infikované počítače různými škodlivými programy.

A Waledac, AJ trojské koně se ve většině případů snaží přesvědčit uživatele, aby klikli na odkaz ve zprávách prostřednictvím e -mailů. Pokud se to podaří, otevře se škodlivý web, ze kterého lze stáhnout soubory trojských koní.

Nejdůležitějším úkolem počítačového malwaru je shromáždit co nejvíce e-mailových adres důkladným zmapováním obsahu souborů na místních, vyměnitelných a síťových discích. Nahrané adresy se nahrají na předdefinované vzdálené servery, v mnoha případech v šifrované podobě.

Dalším nebezpečím pro Waledac.AJ je, že stahuje soubory do infikovaných systémů, často vypadají jako obrázky JPG, které ve skutečnosti skrývají další trojské koně.

Trojan Waledac.AJ se šíří prostřednictvím e-mailů, které mohou zahrnovat:

• [jméno odesílatele] vám poslal e-pohlednici na Valentýna!
• E-pohlednice na Valentýna od [jméno odesílatele]
• Zdravím od [jméno odesílatele]

Trojan používá při svém šíření následující názvy souborů:

• Card.exe
• cardviewer.exe
• devkit.exe
• download.exe
• ecard.exe
• install.exe
• lovecard.exe
• lovekit.exe
• loveprogramm.exe
• Loveu.exe
• Luv.exe
• Programm.exe
• vcard.exe
• viewer.exe

Když trojský kůň Waledac.AJ spustí, provede následující akce:

1. Vytvořte v registru následující položku:
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ PromoReg =
   "[Trojská cesta]"
2. Přidá do registrační databáze následující hodnoty:
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RList =
   „[Náhodné postavy]“
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ MyID =
   „[Náhodné postavy]“
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ FWDone =
   „[Náhodné postavy]“
   HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ LastCommandId =
   „[Náhodné postavy]“
3. Shromažďuje e -mailové adresy ze souborů s různými příponami a poté je nahrává na vzdálený server. Trojan také hledá dostupné adresy na místních, vyměnitelných a síťových jednotkách.
4. Shromažďuje shromážděná data na vzdálené servery v šifrované podobě jako soubory .htm, .php nebo .png.
5. Stahuje různé soubory přes internet, včetně infikovaných souborů. V některých případech mají stažené soubory příponu .jpg a vypadají jako obrázek. Ve skutečnosti ale skrývají dalšího trojského koně.