DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.Win32.Ganda

Kategorie Email-Worm
Plattform Win32
Beschreibung

Technische Details

Ganda ist ein Wurmvirus, der sich über das Internet als E-Mail-Anhang verbreitet. Es fügt seine Komponente in ausführbare Win32 PE EXE-Dateien ein und schützt sich selbst gegen Antivirenprogramme.

Der Wurm selbst ist eine Windows PE EXE-Datei mit einer Größe von 45056 Byte. Es ist in der Assembler-Programmiersprache geschrieben und enthält die folgenden verschlüsselten Zeichenfolgen:

 [WORM.SWEDENSUX] Von Onkel Roger in H�rn�sand, Schweden, 03.03.
 Ich werde vom schwedischen Schulsystem diskriminiert. Dies ist eine Antwort
 zu acht langen Jahren der Diskriminierung.
 Ich unterstütze Tierbefreier weltweit.

Die Nachrichten mit dem Wurm enthalten die Textstrings (sekundäre Strings können von E-Mail-Programmen ignoriert werden):


 --Teil 1
 Inhaltstyp: mehrteilig / alternativ; Grenze = "Teil2"

 --Teil 2
 Inhaltstyp: text / plain; charset = "iso-8859-1"
 Content-Transfer-Encoding: In Anführungszeichen druckbar

 Myzli!

 --Teil 2
 Inhaltstyp: text / html; charset = "iso-8859-1"
 Content-Transfer-Encoding: In Anführungszeichen druckbar

 
  Körper massieren
 

 --Teil 2--

 --Teil 1
 Inhaltstyp: application / octet-stream
 Content-Transfer-Codierung: base64
 Inhaltsdisposition: Anhaftung; Dateiname = "xx.scr"

Ein Titel und ein Nachrichtentext werden aus den folgenden Varianten in Englisch und Schwedisch ausgewählt. Die gewählte Sprache hängt von den Spracheinstellungen eines Computers ab.

Schwedische Nachrichtenvarianten:

Variante 1:

 Titel: =? Iso-8859-1? Q? Olaglig_sk = E4rmsl = E4ckare = 3F? =

 Nachrichtentext:

 Hej!

 Min sohn visade mig denna sk = E4rmsl = E4ckare etwas falsches = E4nker kan =
 bryta mot haben om het mot folkgrupp. Eftersom du = E4r verksam som =
 Jurist, s = E5 vor jag tacksam f = F6r und fackmans syn p = E5 saken. Tack =
 p = E5 f = F6rhand.

Variante 2:

 Titel: Rashets eller

 Nachrichtentext:

 Hejsan!

 Min daten = E4rare gjorde mig uppm = E4rksam p = E5 att denna =
 sk = E4rmsl = E4ckare m = F6jligen kann t = E4nkas vara ett verk av resasser. Nu =
 jag varken ut eller in, eftersom jag hade t = E4nkt anv = E4nda den p = E5 =
 Min Skoldator. B = F6r jag att forts = E4tta att anv = E4nda den? Svara helst =
 Snarast.
 Heften p = E5 f = F6rhand.

Variante 3:

 Titel: Hakkors.

 Nachrichtentext:

 Hej!

 Min class = F6rest = E5ndare gick i take n = E4r hon fick se =
 sk = E4rmsl = E4ckaren etwas jag har anv = E4nt unter tv = E5 terminer. Hon =
 anklagade mig f = F6r Antisemitismus eftersom den ibland visar ett hakkors. = '
 Tycker du att jag b = F6r akzeptiert detta fr = E5n henne? Vorne tacksam f = F6r =
 ett utl = E5tande fr = E5n dig. Svara helst s = E5 snart det g = E5r.

Variante 4:

 Titel: Suspekta semaforer.

 Nachrichtentext:

 Hejsan!

 I skolan hittade jag en CD skiva som inneh = F6ll bl.a ​​dena =
 sk = E4rmsl = E4ckare. En l = E4ráre som r = E5 kade kásta ett = F6ga p = E5 den =
 avf = E4rdade destineh = E5ll som rasistisk Propaganda. Sj = E4lv tycker =
 jag inte att det = E4rn = E5got att
 orda om. Vorne tacksam f = F6r din uppfattning. Heften p = E5 f = F6rhand.

Variante 5:

 Titel: =? Iso-8859-1? Q? Avskyv = E4rd_reklam.? =

 Nachrichtentext:

 Hej!

 Min morder = E5rmsl = E4ckare p = E5 und CD skiva via =
 ett massutskick av reklam. Jag uppr = F6rs = F6verdet s = E4tt p = E5 vilket =
 rasistiska och nazistiska propagandister bis = E5ts f = F6rmedla sin =
 avskyv = E4rda ideologitill Scheune. Jag = F6verv = E4ger nu att polisanm = E4la delta tilltag s = E5 =
 snart du, ich egenskap av juridisk fackman, delgett mig din = E5sikt. Tack =
 p = E5 f = F6rhand.

Variante 6:

 Titel: =? Iso-8859-1? Q? = D6vervigtiga_f = F6rnedras.? =

 Nachrichtentext:

 Hejsan!

 Jag = F6verv = E4ger att polisanm = E4la, denn sk = E4rmsl = E4ckare. Jag anser =
 att den den har en nedl = E5tandé attituded genentem = F6verviktiga personer. Jag =
 skulle bli ytterst tacksam aus der kunde bidra mit din syn p = E5 saken.
 Heften p = E5 f = F6rhand.

Variante 7:

 Titel: Ack ack ....

 Nachrichtentext:

 Hej ich!

 Den h = E4r sk = E4rmsl = E4cksl var en amerikansk parodi p = E5 =
 n = E5got som svenskarna g = F6r p = E5 mittelsommar. Skratta inte ihj = E4l dig =
 bara. :-)

Variante 8:

 Titel: =? Iso-8859-1? Q? = C4r_USA_ett_UFO = 3F? =

 Nachrichtentext:

 Hej ich!

 H = E4r = E4r sk = E4rmsl = E4ckare Zahl 4. Kolla in den och tala sedan om =
 Für George W. Bush INTE = E4r en rymdvarelse. ;-)

Variante 9:

 Titel: Korkad Präsident.

 Nachrichtentext:

 Hej ich!

 H = E4r = E4r sk = E4rmsl = E4ckaren som jag snackade om. George W. Bush verkar =
 inte vara allf = F6r hell om mann ska tro brittiska komiker. "
  :-)

Variante 10:

 Titel: Katt, Hund, Kanin.

 Nachrichtentext:

 Hej ich!

 Om du gillar djur s = E5 m = E5ste denna sk = E4rmsl = E4ckare vara = E5'tf = F6r =
 graben. Mjau, Voff, Arf Arf .... ;-)

Englische Nachrichtenvarianten:

Variante 1:

 Titel: Ratgeber für Bildschirmschoner

 Nachrichtentext:

 Glauben Sie, dass dieser Bildschirmschoner als illegal angesehen werden könnte? Würde =
 zu schätzen, wenn Sie oder einer Ihrer Freunde es sich ansehen können und =
 antworte sofort
 menschlich möglich. Danke!

Variante 2:

 Titel: Spion Bilder.

 Nachrichtentext:

 Hier ist der Bildschirmschoner, von dem ich dir erzählt habe. Es enthält Bilder von =
 einer der US-Spionagesatelliten während einer seiner Missionen über dem Irak. Wenn =
 Du willst mehr von diesen Bildern wissen, wo du mich finden kannst. Tschüss!

Variante 3:

 Titel: GO USA !!!!

 Nachrichtentext:

 Dieser Bildschirmschoner animiert das Sternenbanner. Bitte unterstützen Sie das =
 US-Regierung in ihrem Kampf gegen den Terror. Vielen Dank!

Variante 4:

 Titel: GW Bush Animation.

 Nachrichtentext:

 Hier ist die Animation, die das FBI stoppen möchte. Scheint so, als wären die Feds =
 versuchen, den Völkern das Recht zu nehmen, zu sagen, was sie von den USA halten =
 Verwaltung. Habe Spaß!

Variante 5:

 Titel: Ist USA ein UFO?

 Nachrichtentext:

 Schau dir diesen Bildschirmschoner an und erzähle mir dann, dass George W. Bush = ist
 kein Alien. ;-)

Variante 6:

 Titel: Sind die USA immer die Nummer eins?

 Nachrichtentext:

 Einige fehlgeleitete Leute glauben tatsächlich, dass ein amerikanisches Leben ein = hat
 größer als die anderer Nationalitäten. Sehen Sie sich einfach = an
 dieser erbärmliche Bildschirmschoner und dann wirst du wissen, worüber ich rede. =
 Alles Gute.

Variante 7:

 Titel: LINUX.

 Nachrichtentext:

 Sind Sie ein Windows-Benutzer, der neugierig auf die Linux-Umgebung ist? Dies =
 Bildschirmschoner gibt Ihnen eine Vorschau der KDE- und GNOME-Desktops. Was ist =
 mehr, LINUX ist ein kostenloses System, was bedeutet, dass jeder es herunterladen kann.

Variante 8:

 Titel: Nazi-Propaganda?

 Nachrichtentext:

 Dieser Bildschirmschoner wurde in Deutschland verboten. Es enthält eine Anzahl von =
 animierte Symbole, die mit der Nazi-Kultur in Verbindung gebracht werden können. Was hast du =
 Denken Sie, ist es ein legitimes Verbot oder nicht? Bitte antworten Sie so bald wie möglich. Danke!

Variante 9:

 Titel: Katzenliebhaber.

 Nachrichtentext:

 Wenn Sie Katzen mögen, werden Sie diesen Bildschirmschoner lieben. Es sind vier animierte =
 Kätzchen laufen auf dem Bildschirm herum. Kontaktieren Sie mich für mehr Clipart. Haben =
 Spaß! ;-)

Variante 10:

 Titel: Ekelhafte Propaganda.

 Nachrichtentext:

 Hallo! Meine 12-jährige Tochter hat diesen Bildschirmschoner auf einer CDROM erhalten =
 wurde ihr durch Werbung geschickt. Ich finde es störend, dass Kinder =
 werden jetzt Ziele von Nazi-Organisationen. Ich würde es begrüßen zu hören =
 von Ihnen in dieser Angelegenheit, so schnell wie möglich. Vielen Dank.

Der Name der Anlagedatei folgt einem System, dessen Name lautet:

xx.scr (wobei 'XX' zwei zufällige Buchstaben sind, die von 'a' bis 'z' reichen)

Der Wurm wird nur aktiviert, wenn ein Benutzer auf die infizierte angehängte Datei klickt. Der Wurm installiert sich dann im System und führt seine Spreizroutine und Nutzlast aus.

Installieren
Während der Installation kopiert sich der Wurm in das Windows-Verzeichnis unter dem Namen SCANDISK.exe und registriert diese Datei im System-Registrierungsschlüssel.

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
 ScanDisk =  SCANDISK.exe

Der Wurm kopiert sich unter einem zufälligen Namen (8 Zeichen lang mit Buchstaben von 'a' bis 'z' + ".exe") in das Windows-Verzeichnis.

Verbreitung
Um infizierte Nachrichten zu versenden, verwendet der Wurm den SMTP-Server. Es durchsucht die WAB-Datenbank und sucht nach Dateien nach Maske: "* .eml", "*. * Htm *", "* .dbx" und sucht nach E-Mail-Adressen in diesen Dateien.

Der Wurm fügt seine Komponente in die folgenden ausführbaren Dateitypen ein: Win32 PE EXE

Der Wurm durchsucht den lokalen Datenträger nach allen EXE-Dateien und .SCR-Dateien und sucht nach speziellen Befehlen. Wenn solche Befehle gefunden werden, fügt sie ihre Komponente in den letzten Abschnitt der PE-Dateien ein. Der Wurm fügt auch den JMP-Befehl in PE-Dateien ein. Die eingefügte Komponente führt den Hauptwurmkörper aus dem Windows-Verzeichnis aus. Der Komponentencode enthält die folgenden Zeichenfolgen:


 KERNEL32.DLL 
 CreateProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA 
 ErstellenProzessA 
 hvjxlzna.EXE

Der Ganda Wurm verteidigt sich gegen Antivirenprogramme. Der Wurm beendet aktive Prozesse in Code, der die folgenden Textzeichenfolgen enthält:


 Virus 
 Firewall 
 f-sicher 
 Symantec 
 McAfee 
 pc-cillin 
 Trend Micro 
 kaspersky 
 Sophos 
 Norton

Ganda scannt Dateien in der Systemregistrierungsstruktur:

 HKLMSystemCurrentControlSetServicesVxD

und löscht Einträge für Dateien mit Anti-Virus-Strings. Der Wurm scannt auch Dateien, auf die die Registrierungsschlüssel zeigen:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun     
 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices     

Der Ganda-Wurm fügt den RET-Befehl in den Einstiegspunkt von Dateien ein, die Anti-Virus-Strings enthalten.

Payloads
Der Wurm sendet jedes Mal, wenn er eine Maschine infiziert, eine E-Mail-Nachricht. Die Nachricht enthält die folgenden Merkmale:

Von:

 skrattahaha@hotmail.com

Zu:

 rot@fna.se
 debatt@svt.se
 susanne.sjostedt@tidningen.to
 skolverket@skolverket.se
 mary.martensson@aftonbladet.se
 katarina.sternudd@aftonbladet.se
 cecilia.gustavsson@aftonbladet.se
 jessica.ritzen@aftonbladet.se
 margareta.cronquist@tidningen.to
 annika.sohlander@aftonbladet.se
 kerstin.danielson@aftonbladet.se
 insandare@tidningen.to
 insandare@aftonbladet.se

Der Nachrichtentitel oder Betreff lautet:

 DISKRIMINERAD !!!! 

Der Nachrichtentext enthält in der schwedischen Sprache geschriebenen Text.


Link zum Original
Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen