W32.Waledac.B

Informacje o najnowszych zagrożeniach i sposobach leczenia
Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21305
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

W32.Waledac.B

Post03 sty 2011, 23:59

Nazwa: W32.Waledac.B
Typ: Robak
Źródło: Symantec
System: Windows

Działanie: Infekcja przez spam, sam też rozsyła, ściąga inne zagrożenia i jest w stanie działać w botnecie

Zawarty jest w spamie świątecznym

Tworzy wpis startowy:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SmartIndex" = "[PATH TO WORM]"

tworzy inne klucze:

* HKEY_CURRENT_USER\Software\Google\"ID" = "[HEXADECIMAL DIGITS]"
* HKEY_CURRENT_USER\Software\Google\"ID2" = "[HEXADECIMAL DIGITS]"
* HKEY_CURRENT_USER\Software\Google\"ID3" = "[HEXADECIMAL DIGITS]"


Otwiera backdoora na TCP port 80 oraz UDP port 445.

łączy się ze szkodliwymi adresami IP:

Kod: Zaznacz cały

  * 85.198.226.237
    * 80.5.249.237
    * 123.236.43.238
    * 97.93.78.238
    * 24.23.81.238
    * 80.93.190.238
    * 84.188.239.238
    * 151.50.156.240
    * 77.121.160.240
    * 24.139.237.240
    * 1.23.3.241
    * 220.78.26.241
    * 190.245.76.241
    * 98.220.46.242
    * 84.240.199.242
    * 200.120.27.243
    * 80.80.38.243
    * 117.200.52.243
    * 188.58.102.243
    * 93.176.238.243
    * 62.84.50.244
    * 2.60.72.246
    * 183.87.78.246
    * 82.232.113.246
    * 203.192.239.246
    * 77.38.29.247
    * 62.11.86.247
    * 78.58.76.248
    * 89.116.22.249
    * 68.55.214.250
    * 89.235.214.250
    * 220.126.223.250
    * 89.215.12.251
    * 94.180.91.251
    * 178.150.188.251
    * 71.192.238.251
    * 209.102.242.252



Updatuje się z pliku pobranego z internetu o nazwie:

Kod: Zaznacz cały

flash3.exe


Może ściągać także inne pliki wykonywalne

Wysyła maila (spam):

Subject: Welcome 2011!
Body:
Walt has created a New Year ECard.
Your Ecard: [http://]trackside.co.uk/z32iyk[REMOVED]
The greeting card will be stored for you for 14 days.

Subject: Cordelia sent you New Year Wishes!
Body:
Cordelia sent a New Year card.
View the card by clicking: [http://]toowoombastampclub.org/r9zk70[REMOVED]
Your eCard will be available for the next 20 days.

Subject: Happy New Year 2011!
Body:
Saul mailed an Online greeting card.
To pick up your greeting card, click on the following link:
[http://]playhdvideo.com/ckrx5b[REMOVED]
Your eCard will be available with us for the next 30 days.

Subject: Wish You A Happy New Year!
Body:
Jen wants to show you a greeting card.
Your card will be available at: [http://]polyepiplo.gr/8z21bj[REMOVED]
For your convenience, the greeting card will be available for the next 30 days.

Może łączyć się z innymi zakażonymi komputerami przez HTTP oraz SNMP.

Usuwanie:
Po wyłączeniu przywracania systemu, aktualizacji antywirusa i wykonaniu nim skanowania komputera, należy skasować wpisy z rejestru:

Kod: Zaznacz cały

    * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SmartIndex" = "[PATH TO WORM]"
    * HKEY_CURRENT_USER\Software\Google\"ID" = "[HEXADECIMAL DIGITS]"
    * HKEY_CURRENT_USER\Software\Google\"ID2" = "[HEXADECIMAL DIGITS]"
    * HKEY_CURRENT_USER\Software\Google\"ID3" = "[HEXADECIMAL DIGITS]"
Hotfix
Pozdrawiam, cosik_ktosik :)


  • Reklama

Wróć do „Zagrożenia i leczenie”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 1 gość