Hauptgruppierung: VirWare
Viren und Würmer sind bösartige Programme, die sich auf Computern oder in Computernetzwerken replizieren, ohne dass der Benutzer dies bemerkt. Jede nachfolgende Kopie solcher Schadprogramme kann sich auch selbst replizieren.Schädliche Programme, die sich über Netzwerke ausbreiten oder entfernte Maschinen infizieren, wenn dies vom "Eigentümer" (z. B. Hintertüren) verlangt wird, oder Programme, die mehrere Kopien erstellen, die sich nicht selbst replizieren können, gehören nicht zur Unterklasse Viren und Würmer.
Das Hauptmerkmal, das verwendet wird, um zu bestimmen, ob ein Programm als separates Verhalten innerhalb der Unterklasse Viren und Würmer klassifiziert ist, ist, wie sich das Programm verbreitet (dh wie das bösartige Programm Kopien von sich über lokale oder Netzwerkressourcen verbreitet).
Die meisten bekannten Würmer verteilen sich als Dateien, die als E-Mail-Anhänge gesendet werden, über einen Link zu einer Web- oder FTP-Ressource, über einen Link in einer ICQ- oder IRC-Nachricht, über P2P-Filesharing-Netzwerke usw.
Einige Würmer verbreiten sich als Netzwerkpakete; diese dringen direkt in den Computerspeicher ein und der Wurmcode wird dann aktiviert.
Würmer verwenden die folgenden Techniken, um entfernte Computer zu durchdringen und Kopien von sich selbst zu starten: Social Engineering (z. B. eine E-Mail-Nachricht, die darauf hinweist, dass der Benutzer eine angehängte Datei öffnet), Ausnutzen von Netzwerkkonfigurationsfehlern (z. B. Kopieren auf eine voll zugängliche Festplatte) Lücken in der Betriebssystem- und Anwendungssicherheit.
Viren können nach der Methode aufgeteilt werden, die zum Infizieren eines Computers verwendet wird:
Dateiviren
Boot-Sektor-Viren
Makroviren
Skriptviren
Jedes Programm in dieser Unterklasse kann zusätzliche Trojanerfunktionen haben.
Es sollte auch beachtet werden, dass viele Würmer mehr als eine Methode verwenden, um Kopien über Netzwerke zu verbreiten. Die Regeln zum Klassifizieren erkannter Objekte mit mehreren Funktionen sollten verwendet werden, um diese Arten von Würmern zu klassifizieren.
Kategorie: Email-Worm
E-Mail-Würmer verbreiten sich per E-Mail. Der Wurm sendet eine Kopie von sich selbst als Anhang an eine E-Mail-Nachricht oder einen Link zu seiner Datei auf einer Netzwerkressource (z. B. eine URL zu einer infizierten Datei auf einer kompromittierten Website oder einer Hacker-eigenen Website).Im ersten Fall wird der Wurmcode aktiviert, wenn der infizierte Anhang geöffnet (gestartet) wird. Im zweiten Fall wird der Code aktiviert, wenn der Link zur infizierten Datei geöffnet wird. In beiden Fällen ist das Ergebnis dasselbe: Der Wurmcode ist aktiviert.
Email-Würmer verwenden eine Reihe von Methoden, um infizierte E-Mails zu versenden. Die häufigsten sind:
Verwenden einer direkten Verbindung zu einem SMTP-Server mithilfe des E-Mail-Verzeichnisses, das in den Code des Wurms integriert ist
Verwenden von MS Outlook-Diensten
Verwenden von Windows MAPI-Funktionen.
Email-Würmer verwenden eine Reihe verschiedener Quellen, um E-Mail-Adressen zu finden, an die infizierte E-Mails gesendet werden:
das Adressbuch in MS Outlook
eine WAB-Adressdatenbank
.txt-Dateien, die auf der Festplatte gespeichert sind: Der Wurm kann feststellen, welche Zeichenfolgen in Textdateien E-Mail-Adressen sind
E-Mails im Posteingang (einige E-Mail-Würmer "antworten" sogar auf E-Mails im Posteingang)
Viele E-Mail-Würmer verwenden mehr als eine der oben aufgeführten Quellen. Es gibt auch andere Quellen für E-Mail-Adressen, z. B. Adressbücher für webbasierte E-Mail-Dienste.
Mehr Informationen
Plattform: Win32
Win32 ist eine API auf Windows NT-basierten Betriebssystemen (Windows XP, Windows 7 usw.), die die Ausführung von 32-Bit-Anwendungen unterstützt. Eine der am weitesten verbreiteten Programmierplattformen der Welt.Beschreibung
Technische Details
Ganda ist ein Wurmvirus, der sich über das Internet als E-Mail-Anhang verbreitet. Es fügt seine Komponente in ausführbare Win32 PE EXE-Dateien ein und schützt sich selbst gegen Antivirenprogramme.Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Größe von 45056 Byte. Es ist in der Assembler-Programmiersprache geschrieben und enthält die folgenden verschlüsselten Zeichenfolgen:
[WORM.SWEDENSUX] Von Onkel Roger in H�rn�sand, Schweden, 03.03. Ich werde vom schwedischen Schulsystem diskriminiert. Dies ist eine Antwort zu acht langen Jahren der Diskriminierung. Ich unterstütze Tierbefreier weltweit.
Die Nachrichten mit dem Wurm enthalten die Textstrings (sekundäre Strings können von E-Mail-Programmen ignoriert werden):
--Teil 1 Inhaltstyp: mehrteilig / alternativ; Grenze = "Teil2" --Teil 2 Inhaltstyp: text / plain; charset = "iso-8859-1" Content-Transfer-Encoding: In Anführungszeichen druckbar Myzli! --Teil 2 Inhaltstyp: text / html; charset = "iso-8859-1" Content-Transfer-Encoding: In Anführungszeichen druckbar Körper massieren --Teil 2-- --Teil 1 Inhaltstyp: application / octet-stream Content-Transfer-Codierung: base64 Inhaltsdisposition: Anhaftung; Dateiname = "xx.scr"
Ein Titel und ein Nachrichtentext werden aus den folgenden Varianten in Englisch und Schwedisch ausgewählt. Die gewählte Sprache hängt von den Spracheinstellungen eines Computers ab.
Schwedische Nachrichtenvarianten:
Variante 1:
Titel: =? Iso-8859-1? Q? Olaglig_sk = E4rmsl = E4ckare = 3F? = Nachrichtentext: Hej! Min sohn visade mig denna sk = E4rmsl = E4ckare etwas falsches = E4nker kan = bryta mot haben om het mot folkgrupp. Eftersom du = E4r verksam som = Jurist, s = E5 vor jag tacksam f = F6r und fackmans syn p = E5 saken. Tack = p = E5 f = F6rhand.
Variante 2:
Titel: Rashets eller Nachrichtentext: Hejsan! Min daten = E4rare gjorde mig uppm = E4rksam p = E5 att denna = sk = E4rmsl = E4ckare m = F6jligen kann t = E4nkas vara ett verk av resasser. Nu = jag varken ut eller in, eftersom jag hade t = E4nkt anv = E4nda den p = E5 = Min Skoldator. B = F6r jag att forts = E4tta att anv = E4nda den? Svara helst = Snarast. Heften p = E5 f = F6rhand.
Variante 3:
Titel: Hakkors. Nachrichtentext: Hej! Min class = F6rest = E5ndare gick i take n = E4r hon fick se = sk = E4rmsl = E4ckaren etwas jag har anv = E4nt unter tv = E5 terminer. Hon = anklagade mig f = F6r Antisemitismus eftersom den ibland visar ett hakkors. = ' Tycker du att jag b = F6r akzeptiert detta fr = E5n henne? Vorne tacksam f = F6r = ett utl = E5tande fr = E5n dig. Svara helst s = E5 snart det g = E5r.
Variante 4:
Titel: Suspekta semaforer. Nachrichtentext: Hejsan! I skolan hittade jag en CD skiva som inneh = F6ll bl.a dena = sk = E4rmsl = E4ckare. En l = E4ráre som r = E5 kade kásta ett = F6ga p = E5 den = avf = E4rdade destineh = E5ll som rasistisk Propaganda. Sj = E4lv tycker = jag inte att det = E4rn = E5got att orda om. Vorne tacksam f = F6r din uppfattning. Heften p = E5 f = F6rhand.
Variante 5:
Titel: =? Iso-8859-1? Q? Avskyv = E4rd_reklam.? = Nachrichtentext: Hej! Min morder = E5rmsl = E4ckare p = E5 und CD skiva via = ett massutskick av reklam. Jag uppr = F6rs = F6verdet s = E4tt p = E5 vilket = rasistiska och nazistiska propagandister bis = E5ts f = F6rmedla sin = avskyv = E4rda ideologitill Scheune. Jag = F6verv = E4ger nu att polisanm = E4la delta tilltag s = E5 = snart du, ich egenskap av juridisk fackman, delgett mig din = E5sikt. Tack = p = E5 f = F6rhand.
Variante 6:
Titel: =? Iso-8859-1? Q? = D6vervigtiga_f = F6rnedras.? = Nachrichtentext: Hejsan! Jag = F6verv = E4ger att polisanm = E4la, denn sk = E4rmsl = E4ckare. Jag anser = att den den har en nedl = E5tandé attituded genentem = F6verviktiga personer. Jag = skulle bli ytterst tacksam aus der kunde bidra mit din syn p = E5 saken. Heften p = E5 f = F6rhand.
Variante 7:
Titel: Ack ack .... Nachrichtentext: Hej ich! Den h = E4r sk = E4rmsl = E4cksl var en amerikansk parodi p = E5 = n = E5got som svenskarna g = F6r p = E5 mittelsommar. Skratta inte ihj = E4l dig = bara. :-)
Variante 8:
Titel: =? Iso-8859-1? Q? = C4r_USA_ett_UFO = 3F? = Nachrichtentext: Hej ich! H = E4r = E4r sk = E4rmsl = E4ckare Zahl 4. Kolla in den och tala sedan om = Für George W. Bush INTE = E4r en rymdvarelse. ;-)
Variante 9:
Titel: Korkad Präsident. Nachrichtentext: Hej ich! H = E4r = E4r sk = E4rmsl = E4ckaren som jag snackade om. George W. Bush verkar = inte vara allf = F6r hell om mann ska tro brittiska komiker. ":-)
Variante 10:
Titel: Katt, Hund, Kanin. Nachrichtentext: Hej ich! Om du gillar djur s = E5 m = E5ste denna sk = E4rmsl = E4ckare vara = E5'tf = F6r = graben. Mjau, Voff, Arf Arf .... ;-)
Englische Nachrichtenvarianten:
Variante 1:
Titel: Ratgeber für Bildschirmschoner Nachrichtentext: Glauben Sie, dass dieser Bildschirmschoner als illegal angesehen werden könnte? Würde = zu schätzen, wenn Sie oder einer Ihrer Freunde es sich ansehen können und = antworte sofort menschlich möglich. Danke!
Variante 2:
Titel: Spion Bilder. Nachrichtentext: Hier ist der Bildschirmschoner, von dem ich dir erzählt habe. Es enthält Bilder von = einer der US-Spionagesatelliten während einer seiner Missionen über dem Irak. Wenn = Du willst mehr von diesen Bildern wissen, wo du mich finden kannst. Tschüss!
Variante 3:
Titel: GO USA !!!! Nachrichtentext: Dieser Bildschirmschoner animiert das Sternenbanner. Bitte unterstützen Sie das = US-Regierung in ihrem Kampf gegen den Terror. Vielen Dank!
Variante 4:
Titel: GW Bush Animation. Nachrichtentext: Hier ist die Animation, die das FBI stoppen möchte. Scheint so, als wären die Feds = versuchen, den Völkern das Recht zu nehmen, zu sagen, was sie von den USA halten = Verwaltung. Habe Spaß!
Variante 5:
Titel: Ist USA ein UFO? Nachrichtentext: Schau dir diesen Bildschirmschoner an und erzähle mir dann, dass George W. Bush = ist kein Alien. ;-)
Variante 6:
Titel: Sind die USA immer die Nummer eins? Nachrichtentext: Einige fehlgeleitete Leute glauben tatsächlich, dass ein amerikanisches Leben ein = hat größer als die anderer Nationalitäten. Sehen Sie sich einfach = an dieser erbärmliche Bildschirmschoner und dann wirst du wissen, worüber ich rede. = Alles Gute.
Variante 7:
Titel: LINUX. Nachrichtentext: Sind Sie ein Windows-Benutzer, der neugierig auf die Linux-Umgebung ist? Dies = Bildschirmschoner gibt Ihnen eine Vorschau der KDE- und GNOME-Desktops. Was ist = mehr, LINUX ist ein kostenloses System, was bedeutet, dass jeder es herunterladen kann.
Variante 8:
Titel: Nazi-Propaganda? Nachrichtentext: Dieser Bildschirmschoner wurde in Deutschland verboten. Es enthält eine Anzahl von = animierte Symbole, die mit der Nazi-Kultur in Verbindung gebracht werden können. Was hast du = Denken Sie, ist es ein legitimes Verbot oder nicht? Bitte antworten Sie so bald wie möglich. Danke!
Variante 9:
Titel: Katzenliebhaber. Nachrichtentext: Wenn Sie Katzen mögen, werden Sie diesen Bildschirmschoner lieben. Es sind vier animierte = Kätzchen laufen auf dem Bildschirm herum. Kontaktieren Sie mich für mehr Clipart. Haben = Spaß! ;-)
Variante 10:
Titel: Ekelhafte Propaganda. Nachrichtentext: Hallo! Meine 12-jährige Tochter hat diesen Bildschirmschoner auf einer CDROM erhalten = wurde ihr durch Werbung geschickt. Ich finde es störend, dass Kinder = werden jetzt Ziele von Nazi-Organisationen. Ich würde es begrüßen zu hören = von Ihnen in dieser Angelegenheit, so schnell wie möglich. Vielen Dank.
Der Name der Anlagedatei folgt einem System, dessen Name lautet:
xx.scr (wobei 'XX' zwei zufällige Buchstaben sind, die von 'a' bis 'z' reichen)
Der Wurm wird nur aktiviert, wenn ein Benutzer auf die infizierte angehängte Datei klickt. Der Wurm installiert sich dann im System und führt seine Spreizroutine und Nutzlast aus.
Installieren
Während der Installation kopiert sich der Wurm in das Windows-Verzeichnis unter dem Namen SCANDISK.exe und registriert diese Datei im System-Registrierungsschlüssel.
HKLMSoftwareMicrosoftWindowsCurrentVersionRun ScanDisk =SCANDISK.exe
Der Wurm kopiert sich unter einem zufälligen Namen (8 Zeichen lang mit Buchstaben von 'a' bis 'z' + ".exe") in das Windows-Verzeichnis.
Verbreitung
Um infizierte Nachrichten zu versenden, verwendet der Wurm den SMTP-Server. Es durchsucht die WAB-Datenbank und sucht nach Dateien nach Maske: "* .eml", "*. * Htm *", "* .dbx" und sucht nach E-Mail-Adressen in diesen Dateien.
Der Wurm fügt seine Komponente in die folgenden ausführbaren Dateitypen ein: Win32 PE EXE
Der Wurm durchsucht den lokalen Datenträger nach allen EXE-Dateien und .SCR-Dateien und sucht nach speziellen Befehlen. Wenn solche Befehle gefunden werden, fügt sie ihre Komponente in den letzten Abschnitt der PE-Dateien ein. Der Wurm fügt auch den JMP-Befehl in PE-Dateien ein. Die eingefügte Komponente führt den Hauptwurmkörper aus dem Windows-Verzeichnis aus. Der Komponentencode enthält die folgenden Zeichenfolgen:
KERNEL32.DLL CreateProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA ErstellenProzessA hvjxlzna.EXE
Der Ganda Wurm verteidigt sich gegen Antivirenprogramme. Der Wurm beendet aktive Prozesse in Code, der die folgenden Textzeichenfolgen enthält:
Virus Firewall f-sicher Symantec McAfee pc-cillin Trend Micro kaspersky Sophos Norton
Ganda scannt Dateien in der Systemregistrierungsstruktur:
HKLMSystemCurrentControlSetServicesVxD
und löscht Einträge für Dateien mit Anti-Virus-Strings. Der Wurm scannt auch Dateien, auf die die Registrierungsschlüssel zeigen:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Der Ganda-Wurm fügt den RET-Befehl in den Einstiegspunkt von Dateien ein, die Anti-Virus-Strings enthalten.
Payloads
Der Wurm sendet jedes Mal, wenn er eine Maschine infiziert, eine E-Mail-Nachricht. Die Nachricht enthält die folgenden Merkmale:
Von: skrattahaha@hotmail.comZu: rot@fna.se debatt@svt.se susanne.sjostedt@tidningen.to skolverket@skolverket.se mary.martensson@aftonbladet.se katarina.sternudd@aftonbladet.se cecilia.gustavsson@aftonbladet.se jessica.ritzen@aftonbladet.se margareta.cronquist@tidningen.to annika.sohlander@aftonbladet.se kerstin.danielson@aftonbladet.se insandare@tidningen.to insandare@aftonbladet.se
Der Nachrichtentitel oder Betreff lautet:
DISKRIMINERAD !!!!
Der Nachrichtentext enthält in der schwedischen Sprache geschriebenen Text.
Mehr erfahren
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Sicherheitslücken statistics.securelist.com