A Waledac.B féreg terjesztői minden bizonnyal úgy látták, hogy az ünnepi hangulat még nem csengett le, és a felhasználók az újévi jókívánságokat tartalmazó e-maileket továbbra is előszeretettel olvasgatják. Ezért egy olyan spamkampányt indítottak, amellyel ártalmas, ünnepi képeslapokat igyekeznek minél több postafiókba eljuttatni. A küldemények azonban egy kártékony weboldalra mutató hivatkozást is tartalmaznak. Amennyiben a levél címzettje erre rákattint, akkor a féreg állománya kerülhet rá a számítógépre.
Az Isidor Biztonsági Központ jelentése szerint a Waledac.B egy hátsó kaput létesít a fertőzött rendszereken, majd egy IP-címlista alapján távoli szerverekhez csatlakozik. Emellett pedig az általa megfertőzött számítógépek között is megpróbál felépíteni egy-egy kommunikációs csatornát.
Amikor a Waledac.B féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. A regisztrációs adatbázishoz hozzáfűzi a következő bejegyzést:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun"SmartIndex" = "[PATH TO WORM]"
2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_CURRENT_USERSoftwareGoogle"ID" = "[...]"
HKEY_CURRENT_USERSoftwareGoogle"ID2" = "[...]"
HKEY_CURRENT_USERSoftwareGoogle"ID3" = "[...]"
3. Nyit egy hátsó kaput a 80-as TCP és a 445-ös UDP porton keresztül.
4. Egy IP-címlista alapján távoli szerverekhez csatlakozik.
5. Leállít bizonyos folyamatokat.
6. Előre meghatározott távoli szerverről letölt néhány fájlt, amelyek között egy flash3.exe nevű is megtalálható.
7. Kéretlen elektronikus leveleket igyekszik küldözgetni.
8. Az általa megfertőzött számítógépek között HTTP és SNMP protokollok segítségével próbál kommunikálni.
A hír testvéroldalunkon, a Computerworld biztonság rovatában jelent meg.
