Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Ganda je červový virus šířící se přes Internet jako přílohu e-mailu. Vloží komponentu do spustitelných souborů Win32 PE EXE a chrání se před antivirovými programy.

Červ samotný je soubor Windows PE EXE o velikosti 45056 bajtů. Je napsán v programovacím jazyce Assembleru a obsahuje následující šifrované řetězce:

 [WORM.SWEDENSUX] Kódovaný strýcem Rogerem v H�rn�sand, Švédsko, 03.03.
 Jsem diskriminován švédským školským systémem. To je odpověď
 na osm dlouhých let diskriminace.
 Podporuji osvobozovatele zvířat po celém světě.

Zprávy s červem obsahují textové řetězce (sekundární řetězce mohou být ignorovány e-mailovými programy):


 --část 1
 Obsahový typ: vícenásobný / alternativní; hranice = "část2"

 --část 2
 Obsahový typ: text / prostý; charset = "iso-8859-1"
 Content-Transfer-Encoding: citovaný-tisknout

 Myzli!

 --část 2
 Typ obsahu: text / html; charset = "iso-8859-1"
 Content-Transfer-Encoding: citovaný-tisknout

 
  Masážní tělo
 

 --část 2--

 --část 1
 Obsahový typ: aplikace / oktet-stream
 Content-Transfer-Encoding: base64
 Content-Disposition: příloha; název_souboru = "xx.scr"

Název a text zprávy jsou vybrány z následujících variant v angličtině a ve švédštině. Zvolený jazyk závisí na nastavení jazyka počítače.

Švédské varianty zpráv:

Variant 1:

 Název: =? Iso-8859-1? Q? Olaglig_sk = E4rmsl = E4ckare = 3F? =

 Tělo zprávy:

 Hej!

 Min son visade mig denna sk = E4rmsl = E4skare som jag mist = E4nker kan =
 bryta mot lagen om hets mot folkgrupp. Eftersom du = E4r verksam som
 právník, s = E5 vopred jag tacksam f = F6r en fackmans syn p = E5 saken. Tack =
 p = E5 f = F6rhand.

Variant 2:

 Název: Rashets eller inte?

 Tělo zprávy:

 Hejsane!

 Minimální počet dat = E4rare gjorde mig uppm = E4rksam p = E5 at denna =
 sk = E4rmsl = E4krát m = F6jligen kan t = E4nkas vara ett verk av rasister. Nu =
 vet jag varken ut eller in, eftersom jag hade t = E4nkt anv = E4nda den p = E5 =
 min skoldator. B = F6r jag atts = E4tta att anv = E4nda den? Svara helst =
 snarast.
 Tack p = E5 f = F6rhand.

Varianta 3:

 Název: Hakkors.

 Tělo zprávy:

 Hej!

 Min klassf = F6rest = E5ndare gick a taket n = E4r hon fick se =
 sk = E4rmsl = E4skaren som jag har anv = E4nt pod terminálem tv = E5. Hon =
 anklagace mig f = F6r antisemitizmus eftersom den ibland visar ett hakkors. = '
 Tycker du att jag b = F6r akceptovat detta fr = E5n henne? Vore tacksam f = F6r =
 ett utl = E5tande fr = E5n dig. Svara helst s = E5 snart det g = E5r.

Variant 4:

 Název: Suspekta semaforer.

 Tělo zprávy:

 Hejsane!

 I skolan hittade jag en cs skiva som inneh = F6ll bl.a denna =
 sk = E4rmsl = E4skare. En l = E4rare som r = E5kade kasta ett = F6ga p = E5 den =
 avf = E4rdade dess inneh = E5ll som ren rasistická propaganda. Sj = E4lv tycker =
 jag inte att det = E4r, n = E5got att
 orda om. Vore tacksam f = F6r z uppfattning. Tack p = E5 f = F6rhand.

Variant 5:

 Název: =? Iso-8859-1? Q? Avskyv = E4rd_reklam.? =

 Tělo zprávy:

 Hej!

 Min minder = E5rige fick denna sk = E4rmsl = E4skare p = E5 en CD skiva via =
 ett massutskick av reklam. Jag uppr = F6rs = F6ver det s = E4ttt p = E5 vilket =
 rasistiska a nazistiska propagandist do = E5ts f = F6rmedla sin =
 avskyv = E4rda ideologitill stodola. Jag = F6verv = E4Ger nu att polisanm = E4la detta tilltag s = E5 =
 snart du, i egenskap av juridisk fackman, delgett mig din = E5sikt. Tack =
 p = E5 f = F6rhand.

Variant 6:

 Název: =? Iso-8859-1? Q? = D6verviktiga_f = F6rnedras.? =

 Tělo zprávy:

 Hejsane!

 Jag = F6verv = E4gru att polisanm = E4la denna sk = E4rmsl = E4ckare. Jag anser =
 přestože se jedná o nedosažitelnost = E5tande attityd gentemot = F6verviktiga personer. Jag =
 skulle bli ytterst tacksam om du kunde bidra med ze syn p = E5 saken.
 Tack p = E5 f = F6rhand.

Variant 7:

 Název: Go ack ack ack ....

 Tělo zprávy:

 Hej igen!

 Den h = E4r sk = E4rmsl = E4skaren verkar vara americký parodi p = E5 =
 n = E5got som svenskarna g = F6r p = E5 midsommar. Skratta inte ihj = E4I dig =
 bara. :-)

Variant 8:

 Název: =? Iso-8859-1? Q? = C4r_USA_ett_UFO = 3F? =

 Tělo zprávy:

 Hej igen!

 H = E4r = E4r sk = E4rmsl = Číslo čísla 4. Kolla v den och tala sedan om =
 f = F6r přemístění George W Bush INTE = E4r en rymdvarelse. ;-)

Variant 9:

 Název: Prezident Korkad.

 Tělo zprávy:

 Hej igen!

 H = E4r = E4r sk = E4rmsl = E4skaren som jag snackade om. George W Bush verkar
 inte vara allf = F6r světlý člověk ska troská britská komiker. "
  :-)

Variant 10:

 Název: Katt, hund, kanin.

 Tělo zprávy:

 Hej igen!

 Om du gillar djur s = E5 m = E5ste denna sk = E4rmsl = E4ckare vara n = E5'tf = F6r =
 kopat. Mjau, Voff, Arf Arf .... ;-)

Anglické varianty zpráv:

Variant 1:

 Název: Rady pro screensaver.

 Tělo zprávy:

 Myslíte si, že tento spořič obrazovky může být považován za nezákonný? By =
 Uvědomte si, jestli vy nebo někdo z vašich přátel mohl zkontrolovat to a =
 odpovězte co nejdříve
 lidsky možné. Děkuji!

Variant 2:

 Název: Spy pics.

 Tělo zprávy:

 Tady je spořič obrazovky, o němž jsem vám řekl. Obsahuje snímky pořízené pomocí
 jeden z amerických špionážních satelitů během jedné z jeho misí přes iraq. Pokud =
 chcete víc z těchto snímků víte, kde mě najdete. Sbohem!

Varianta 3:

 Název: GO USA !!!!

 Tělo zprávy:

 Tento spořič obrazovky animuje banner s hvězdami. Podporujte prosím =
 Administrace USA v boji proti terorismu. Díky moc!

Variant 4:

 Název: GW Bush animace.

 Tělo zprávy:

 Tady je animace, kterou chce FBI zastavit. Zdá se, že federály jsou =
 snaží se ukončit lidi právo říkat, co si myslí o USA =
 správa. Bavte se!

Variant 5:

 Název: Je USA UFO?

 Tělo zprávy:

 Podívejte se na tento spořič obrazovky a pak mi řekněte, že George.W Bush je =
 ne cizince. ;-)

Variant 6:

 Název: Je USA vždy číslo jedna?

 Tělo zprávy:

 Někteří zavádějící lidé skutečně věří, že americký život má =
 větší hodnotu než u jiných národností. Stačí se podívat na =
 tento pěkný spořič obrazovky a pak budete vědět, o čem mluvím. =
 Vše nejlepší.

Variant 7:

 Název: LINUX.

 Tělo zprávy:

 Jste uživatel Windows, který je zvědavý na prostředí linuxu? Toto =
 spořič obrazovky vám poskytuje náhled na pracovní plochy KDE a GNOME. Co je =
 více, LINUX je bezplatný systém, což znamená, že si ho může stáhnout někdo.

Variant 8:

 Název: Nacistická propaganda?

 Tělo zprávy:

 Tento spořič obrazovky byl v Německu zakázán. Obsahuje číslo =
 animované symboly, které mohou souviset s nacistickou kulturou. Co děláš =
 myslíš, je to legitimní zákaz nebo ne? Prosím odpovězte nejdříve. Děkuji!

Variant 9:

 Název: Catlover.

 Tělo zprávy:

 Pokud máte rádi kočky, budete milovat tento spořič obrazovky. Je to čtyři animované =
 koťata pobíhající na obrazovce. Kontaktujte mě pro více klipartů. Máte =
 zábava! ;-)

Variant 10:

 Název: Nechutná propaganda.

 Tělo zprávy:

 Ahoj! Můj 12 letý dělník dostal tento spořič obrazovky na CDROM, který =
 byl jí zaslán prostřednictvím reklamy. Zdá se mi to znepokojivé, že děti =
 jsou nyní cíle nacistických organizací. Chtěl bych ocenit, že slyším =
 od vás v této věci co nejdříve. Děkuji.

Název souboru přílohy následuje systém, kde je název:

xx.scr (kde "XX" je dvě náhodná písmena od "a" do "z")

Červ se aktivuje pouze v případě, že uživatel klikne na infikovaný připojený soubor. Červ se pak instaluje do systému a provozuje jeho rozšiřující rutinu a užitečné zatížení.

Instalace
Během instalace se červ spojí s adresářem Windows pod názvem SCANDISK.exe a zaregistruje tento soubor v klíči automatického spuštění registru systému.

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
 ScanDisk =  SCANDISK.exe

Červ se rovněž kopíruje pod náhodným jménem (dlouhý 8 znaků a písmena od 'a' do 'z' + '.exe') do adresáře Windows.

Šíření
Chcete-li odeslat infikované zprávy, červa používá server SMTP. Skenuje databázi WAB a vyhledává soubory podle masky: "* .eml", "*. * Htm *", "* .dbx" a skenuje e-mailové adresy uvnitř těchto souborů.

Červ vloží svoji součást do následujících typů spustitelných souborů: Win32 PE EXE

Červ hledá lokální disk pro všechny soubory .EXE a .SCR a vyhledává speciální příkazy. Pokud jsou tyto příkazy nalezeny, vloží jejich komponent do poslední části souborů PE. Červa také vloží příkaz JMP do PE souborů. Vložená součást provede z hlavního adresáře systému Windows hlavní těleso červa. Kód komponent obsahuje následující řetězce:


 KERNEL32.DLL 
 VytvořitProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA 
 CreateProcessA 
 hvjxlzna.EXE

Ganda červ se brání proti antivirovým programům. Červ ukončí aktivní procesy v kódu, který obsahuje následující textové řetězce:


 virus 
 firewall 
 f-bezpečné 
 symantec 
 mcafee 
 pc-cillin 
 trend micro 
 kaspersky 
 sophos 
 norton

Ganda skenuje uvnitř souborů ze stromového stromu registru systému:

 HKLMSystemCurrentControlSetServicesVxD

a odstraní položky pro soubory s antivirovými řetězci. Červ také skenuje uvnitř souborů, které ukazují na klíče registru:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun     
 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Ganda červ vloží příkaz RET do vstupního bodu souborů, u nichž se zjistí, že obsahují antivirové řetězce.

Užitné zatížení
Červ vysílá e-mailovou zprávu pokaždé, když infikuje stroj, zpráva obsahuje následující charakteristiky:

Z:

 skrattahaha@hotmail.com

Na:

 red@fna.se
 debatt@svt.se
 susanne.sjostedt@tidningen.to
 skolverket@skolverket.se
 mary.martensson@aftonbladet.se
 katarina.sternudd@aftonbladet.se
 cecilia.gustavsson@aftonbladet.se
 jessica.ritzen@aftonbladet.se
 margareta.cronquist@tidningen.to
 annika.sohlander@aftonbladet.se
 kerstin.danielson@aftonbladet.se
 insandare@tidningen.to
 insandare@aftonbladet.se

Název nebo předmět zprávy je:

 DISKRIMINERAD !!!!

Tělo zprávy obsahuje text napsaný ve švédském jazyce.

Odkaz na originál

Třída	Email-Worm
Platfoma	Win32
Popis	Technické údaje Ganda je červový virus šířící se přes Internet jako přílohu e-mailu. Vloží komponentu do spustitelných souborů Win32 PE EXE a chrání se před antivirovými programy. Červ samotný je soubor Windows PE EXE o velikosti 45056 bajtů. Je napsán v programovacím jazyce Assembleru a obsahuje následující šifrované řetězce: [WORM.SWEDENSUX] Kódovaný strýcem Rogerem v H�rn�sand, Švédsko, 03.03. Jsem diskriminován švédským školským systémem. To je odpověď na osm dlouhých let diskriminace. Podporuji osvobozovatele zvířat po celém světě. Zprávy s červem obsahují textové řetězce (sekundární řetězce mohou být ignorovány e-mailovými programy): --část 1 Obsahový typ: vícenásobný / alternativní; hranice = "část2" --část 2 Obsahový typ: text / prostý; charset = "iso-8859-1" Content-Transfer-Encoding: citovaný-tisknout Myzli! --část 2 Typ obsahu: text / html; charset = "iso-8859-1" Content-Transfer-Encoding: citovaný-tisknout Masážní tělo --část 2-- --část 1 Obsahový typ: aplikace / oktet-stream Content-Transfer-Encoding: base64 Content-Disposition: příloha; název_souboru = "xx.scr" Název a text zprávy jsou vybrány z následujících variant v angličtině a ve švédštině. Zvolený jazyk závisí na nastavení jazyka počítače. Švédské varianty zpráv: Variant 1: Název: =? Iso-8859-1? Q? Olaglig_sk = E4rmsl = E4ckare = 3F? = Tělo zprávy: Hej! Min son visade mig denna sk = E4rmsl = E4skare som jag mist = E4nker kan = bryta mot lagen om hets mot folkgrupp. Eftersom du = E4r verksam som právník, s = E5 vopred jag tacksam f = F6r en fackmans syn p = E5 saken. Tack = p = E5 f = F6rhand. Variant 2: Název: Rashets eller inte? Tělo zprávy: Hejsane! Minimální počet dat = E4rare gjorde mig uppm = E4rksam p = E5 at denna = sk = E4rmsl = E4krát m = F6jligen kan t = E4nkas vara ett verk av rasister. Nu = vet jag varken ut eller in, eftersom jag hade t = E4nkt anv = E4nda den p = E5 = min skoldator. B = F6r jag atts = E4tta att anv = E4nda den? Svara helst = snarast. Tack p = E5 f = F6rhand. Varianta 3: Název: Hakkors. Tělo zprávy: Hej! Min klassf = F6rest = E5ndare gick a taket n = E4r hon fick se = sk = E4rmsl = E4skaren som jag har anv = E4nt pod terminálem tv = E5. Hon = anklagace mig f = F6r antisemitizmus eftersom den ibland visar ett hakkors. = ' Tycker du att jag b = F6r akceptovat detta fr = E5n henne? Vore tacksam f = F6r = ett utl = E5tande fr = E5n dig. Svara helst s = E5 snart det g = E5r. Variant 4: Název: Suspekta semaforer. Tělo zprávy: Hejsane! I skolan hittade jag en cs skiva som inneh = F6ll bl.a denna = sk = E4rmsl = E4skare. En l = E4rare som r = E5kade kasta ett = F6ga p = E5 den = avf = E4rdade dess inneh = E5ll som ren rasistická propaganda. Sj = E4lv tycker = jag inte att det = E4r, n = E5got att orda om. Vore tacksam f = F6r z uppfattning. Tack p = E5 f = F6rhand. Variant 5: Název: =? Iso-8859-1? Q? Avskyv = E4rd_reklam.? = Tělo zprávy: Hej! Min minder = E5rige fick denna sk = E4rmsl = E4skare p = E5 en CD skiva via = ett massutskick av reklam. Jag uppr = F6rs = F6ver det s = E4ttt p = E5 vilket = rasistiska a nazistiska propagandist do = E5ts f = F6rmedla sin = avskyv = E4rda ideologitill stodola. Jag = F6verv = E4Ger nu att polisanm = E4la detta tilltag s = E5 = snart du, i egenskap av juridisk fackman, delgett mig din = E5sikt. Tack = p = E5 f = F6rhand. Variant 6: Název: =? Iso-8859-1? Q? = D6verviktiga_f = F6rnedras.? = Tělo zprávy: Hejsane! Jag = F6verv = E4gru att polisanm = E4la denna sk = E4rmsl = E4ckare. Jag anser = přestože se jedná o nedosažitelnost = E5tande attityd gentemot = F6verviktiga personer. Jag = skulle bli ytterst tacksam om du kunde bidra med ze syn p = E5 saken. Tack p = E5 f = F6rhand. Variant 7: Název: Go ack ack ack .... Tělo zprávy: Hej igen! Den h = E4r sk = E4rmsl = E4skaren verkar vara americký parodi p = E5 = n = E5got som svenskarna g = F6r p = E5 midsommar. Skratta inte ihj = E4I dig = bara. :-) Variant 8: Název: =? Iso-8859-1? Q? = C4r_USA_ett_UFO = 3F? = Tělo zprávy: Hej igen! H = E4r = E4r sk = E4rmsl = Číslo čísla 4. Kolla v den och tala sedan om = f = F6r přemístění George W Bush INTE = E4r en rymdvarelse. ;-) Variant 9: Název: Prezident Korkad. Tělo zprávy: Hej igen! H = E4r = E4r sk = E4rmsl = E4skaren som jag snackade om. George W Bush verkar inte vara allf = F6r světlý člověk ska troská britská komiker. " :-) Variant 10: Název: Katt, hund, kanin. Tělo zprávy: Hej igen! Om du gillar djur s = E5 m = E5ste denna sk = E4rmsl = E4ckare vara n = E5'tf = F6r = kopat. Mjau, Voff, Arf Arf .... ;-) Anglické varianty zpráv: Variant 1: Název: Rady pro screensaver. Tělo zprávy: Myslíte si, že tento spořič obrazovky může být považován za nezákonný? By = Uvědomte si, jestli vy nebo někdo z vašich přátel mohl zkontrolovat to a = odpovězte co nejdříve lidsky možné. Děkuji! Variant 2: Název: Spy pics. Tělo zprávy: Tady je spořič obrazovky, o němž jsem vám řekl. Obsahuje snímky pořízené pomocí jeden z amerických špionážních satelitů během jedné z jeho misí přes iraq. Pokud = chcete víc z těchto snímků víte, kde mě najdete. Sbohem! Varianta 3: Název: GO USA !!!! Tělo zprávy: Tento spořič obrazovky animuje banner s hvězdami. Podporujte prosím = Administrace USA v boji proti terorismu. Díky moc! Variant 4: Název: GW Bush animace. Tělo zprávy: Tady je animace, kterou chce FBI zastavit. Zdá se, že federály jsou = snaží se ukončit lidi právo říkat, co si myslí o USA = správa. Bavte se! Variant 5: Název: Je USA UFO? Tělo zprávy: Podívejte se na tento spořič obrazovky a pak mi řekněte, že George.W Bush je = ne cizince. ;-) Variant 6: Název: Je USA vždy číslo jedna? Tělo zprávy: Někteří zavádějící lidé skutečně věří, že americký život má = větší hodnotu než u jiných národností. Stačí se podívat na = tento pěkný spořič obrazovky a pak budete vědět, o čem mluvím. = Vše nejlepší. Variant 7: Název: LINUX. Tělo zprávy: Jste uživatel Windows, který je zvědavý na prostředí linuxu? Toto = spořič obrazovky vám poskytuje náhled na pracovní plochy KDE a GNOME. Co je = více, LINUX je bezplatný systém, což znamená, že si ho může stáhnout někdo. Variant 8: Název: Nacistická propaganda? Tělo zprávy: Tento spořič obrazovky byl v Německu zakázán. Obsahuje číslo = animované symboly, které mohou souviset s nacistickou kulturou. Co děláš = myslíš, je to legitimní zákaz nebo ne? Prosím odpovězte nejdříve. Děkuji! Variant 9: Název: Catlover. Tělo zprávy: Pokud máte rádi kočky, budete milovat tento spořič obrazovky. Je to čtyři animované = koťata pobíhající na obrazovce. Kontaktujte mě pro více klipartů. Máte = zábava! ;-) Variant 10: Název: Nechutná propaganda. Tělo zprávy: Ahoj! Můj 12 letý dělník dostal tento spořič obrazovky na CDROM, který = byl jí zaslán prostřednictvím reklamy. Zdá se mi to znepokojivé, že děti = jsou nyní cíle nacistických organizací. Chtěl bych ocenit, že slyším = od vás v této věci co nejdříve. Děkuji. Název souboru přílohy následuje systém, kde je název: xx.scr (kde "XX" je dvě náhodná písmena od "a" do "z") Červ se aktivuje pouze v případě, že uživatel klikne na infikovaný připojený soubor. Červ se pak instaluje do systému a provozuje jeho rozšiřující rutinu a užitečné zatížení. Instalace Během instalace se červ spojí s adresářem Windows pod názvem SCANDISK.exe a zaregistruje tento soubor v klíči automatického spuštění registru systému. HKLMSoftwareMicrosoftWindowsCurrentVersionRun ScanDisk = SCANDISK.exe Červ se rovněž kopíruje pod náhodným jménem (dlouhý 8 znaků a písmena od 'a' do 'z' + '.exe') do adresáře Windows. Šíření Chcete-li odeslat infikované zprávy, červa používá server SMTP. Skenuje databázi WAB a vyhledává soubory podle masky: *" .eml", ". Htm ", " .dbx" a skenuje e-mailové adresy uvnitř těchto souborů. Červ vloží svoji součást do následujících typů spustitelných souborů: Win32 PE EXE Červ hledá lokální disk pro všechny soubory .EXE a .SCR a vyhledává speciální příkazy. Pokud jsou tyto příkazy nalezeny, vloží jejich komponent do poslední části souborů PE. Červa také vloží příkaz JMP do PE souborů. Vložená součást provede z hlavního adresáře systému Windows hlavní těleso červa. Kód komponent obsahuje následující řetězce: KERNEL32.DLL VytvořitProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA CreateProcessA hvjxlzna.EXE Ganda červ se brání proti antivirovým programům. Červ ukončí aktivní procesy v kódu, který obsahuje následující textové řetězce: virus firewall f-bezpečné symantec mcafee pc-cillin trend micro kaspersky sophos norton Ganda skenuje uvnitř souborů ze stromového stromu registru systému: HKLMSystemCurrentControlSetServicesVxD a odstraní položky pro soubory s antivirovými řetězci. Červ také skenuje uvnitř souborů, které ukazují na klíče registru: HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices Ganda červ vloží příkaz RET do vstupního bodu souborů, u nichž se zjistí, že obsahují antivirové řetězce. Užitné zatížení Červ vysílá e-mailovou zprávu pokaždé, když infikuje stroj, zpráva obsahuje následující charakteristiky: Z: skrattahaha@hotmail.com Na: red@fna.se debatt@svt.se susanne.sjostedt@tidningen.to skolverket@skolverket.se mary.martensson@aftonbladet.se katarina.sternudd@aftonbladet.se cecilia.gustavsson@aftonbladet.se jessica.ritzen@aftonbladet.se margareta.cronquist@tidningen.to annika.sohlander@aftonbladet.se kerstin.danielson@aftonbladet.se insandare@tidningen.to insandare@aftonbladet.se Název nebo předmět zprávy je: DISKRIMINERAD !!!!** Tělo zprávy obsahuje text napsaný ve švédském jazyce.
	Odkaz na originál

Email-Worm.Win32.Ganda

Technické údaje