Virus Messenger - trojský kůň Waledac svede dopisy na Valentýna
Trojan Waledac.AJ se šíří především ve formě zpráv na Valentýna prostřednictvím e -mailu a zaplavuje infikované počítače různými škodlivými programy.
A Waledac, AJ trojské koně se ve většině případů snaží přesvědčit uživatele, aby klikli na odkaz ve zprávách prostřednictvím e -mailů. Pokud se to podaří, otevře se škodlivý web, ze kterého lze stáhnout soubory trojských koní.
Nejdůležitějším úkolem počítačového malwaru je shromáždit co nejvíce e-mailových adres důkladným zmapováním obsahu souborů na místních, vyměnitelných a síťových discích. Nahrané adresy se nahrají na předdefinované vzdálené servery, v mnoha případech v šifrované podobě.
Dalším nebezpečím pro Waledac.AJ je, že stahuje soubory do infikovaných systémů, často vypadají jako obrázky JPG, které ve skutečnosti skrývají další trojské koně.
Trojan Waledac.AJ se šíří prostřednictvím e-mailů, které mohou zahrnovat:
- [jméno odesílatele] vám poslal e-pohlednici na Valentýna!
- E-pohlednice na Valentýna od [jméno odesílatele]
- Zdravím od [jméno odesílatele]
Trojan používá při svém šíření následující názvy souborů:
- Card.exe
- cardviewer.exe
- devkit.exe
- download.exe
- ecard.exe
- install.exe
- lovecard.exe
- lovekit.exe
- loveprogramm.exe
- Loveu.exe
- Luv.exe
- Programm.exe
- vcard.exe
- viewer.exe
Když trojský kůň Waledac.AJ spustí, provede následující akce:
- Vytvořte v registru následující položku:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ PromoReg =
"[Trojská cesta]" - Přidá do registrační databáze následující hodnoty:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RList =
„[Náhodné postavy]“
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ MyID =
„[Náhodné postavy]“
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ FWDone =
„[Náhodné postavy]“
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ LastCommandId =
„[Náhodné postavy]“ - Shromažďuje e -mailové adresy ze souborů s různými příponami a poté je nahrává na vzdálený server. Trojan také hledá dostupné adresy na místních, vyměnitelných a síťových jednotkách.
- Shromažďuje shromážděná data na vzdálené servery v šifrované podobě jako soubory .htm, .php nebo .png.
- Stahuje různé soubory přes internet, včetně infikovaných souborů. V některých případech mají stažené soubory příponu .jpg a vypadají jako obrázek. Ve skutečnosti ale skrývají dalšího trojského koně.