Name:Worm/Waledac.48640
Entdeckt am:18/03/2009
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:48.640 Bytes
MD5 Prüfsumme:f9117bf6469b48d8240F4f09aa5adca5
IVDF Version:7.01.02.184 - Mittwoch, 18. März 2009

 General Aliases:
   •  Mcafee: W32/Waledac.gen.e
   •  Sophos: Mal/WaledPak-A
   •  Panda: W32/Iksmas.F.worm
   •  Eset: Win32/Waledac.HL
   •  Bitdefender: Trojan.Waledac.DB


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Erstellt eine potentiell gefährliche Datei
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %SYSDIR%\1042m.exe



Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %SYSDIR%\1962655114.dat




Es wird versucht folgende Datei herunterzuladen:

– Die URLs sind folgende:
   • http://ShopVideoSchools.cn/v3/**********
   • http://ShopFilmWorld.cn/v3/**********
   • http://MartPictureExistence.cn/v3/**********
   • http://ShopPictureLife.cn/v3/**********
   • http://ShopPigLiving.cn/v3/**********
   • http://ShopVideoFest.cn/v3/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccessdmadmin]
   • "ImagePath"="%SYSDIR%\1042m.exe srv"
   • "DisplayName"="Routing and Remote Access RemoteAccessdmadmin"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x2
   • "ErrorControl"=dword:0x0
   • "Type"=dword:0x110

 Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Petre Galan am Donnerstag, 15. Oktober 2009

zurück . . . .