Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Ganda est un virus de ver qui se propage via Internet en tant que pièce jointe. Il insère son composant dans des fichiers exécutables Win32 PE EXE et se protège contre les programmes antivirus.

Le ver lui-même est un fichier Windows PE EXE qui a une taille de 45056 octets. Il est écrit dans le langage de programmation Assembler et contient les chaînes cryptées suivantes:

 [WORM.SWEDENSUX] Codé par l'oncle Roger à H�rn�sand, Suède, 03.03.
 Je suis discriminé par le système scolaire suédois. Ceci est une réponse
 à huit longues années de discrimination.
 Je soutiens les animaux-libérateurs dans le monde entier.

Les messages avec le ver contiennent les chaînes de texte (les chaînes secondaires peuvent être ignorées par les programmes de messagerie):


 --partie 1
 Type de contenu: multipart / alternative; boundary = "part2"

 --partie 2
 Type de contenu: text / plain; jeu de caractères = "iso-8859-1"
 Content-Transfer-Encoding: quoted-imprimable

 Myzli!

 --partie 2
 Type de contenu: text / html; jeu de caractères = "iso-8859-1"
 Content-Transfer-Encoding: quoted-imprimable

 
  Corps de massage
 

 --partie 2--

 --partie 1
 Type de contenu: application / octet-stream
 Content-Transfer-Encoding: base64
 Contenu-Disposition: attachement; filename = "xx.scr"

Un titre et un corps de message sont sélectionnés parmi les variantes suivantes en anglais et en suédois. La langue choisie dépend des paramètres de langue d'un ordinateur.

Variantes de message suédoises:

Variante 1:

 Titre: =? Iso-8859-1? Q? Olaglig_sk = E4rmsl = E4ckare = 3F? =

 Corps du message:

 Hej!

 Min fils visade mig denna sk = E4rmsl = E4ckare som jag misst = E4nker kan =
 bryta mot lagen om sauve le mot folkgrupp. Eftersom du = E4r verksam som =
 juriste, s = E5 vore jag tacksam f = F6r et fackmans syn p = E5 saken. Tack =
 p = E5 f = F6à droite.

Variante 2:

 Titre: Rashets eller inte?

 Corps du message:

 Hejsan!

 Min datal = E4rare gjorde mig uppm = E4rksam p = E5 att denna =
 sk = E4rmsl = E4ckare m = F6jligen kan t = E4nkas vara ett verk av rasister. Nu =
 vet jag varken ut eller dans, eftersom jag hade t = E4nkt anv = E4nda den p = E5 =
 min skoldator. B = F6r jag att forts = E4tta att anv = E4nda den? Svara helst =
 snarast.
 Tack p = E5 f = F6à droite.

Variante 3:

 Titre: Hakkors.

 Corps du message:

 Hej!

 Min klassf = F6rest = E5ndare gick je taque n = E4r hon fick se =
 sk = E4rmsl = E4ckaren som jag har anv = E4nt sous tv = E5 terminer. Hon =
 anklagade mig f = F6r antisémitisme eftersom den ibland visar ett hakkors. = '
 Tycker du att jag b = F6r acceptea detta fr = E5n henne? Vore tacksam f = F6r =
 ett utl = E5tande fr = E5n creuser. Svara helst s = E5 snart det g = E5r.

Variante 4:

 Titre: Suspekta semaforer.

 Corps du message:

 Hejsan!

 Je skolan hittade jag en CD skiva som inneh = F6ll bl.a denna =
 sk = E4rmsl = E4ckare. En E = E4rare som = E5kade kasta ett = F6ga p = E5 den =
 avf = E4rdade dess inneh = E5ll som ren rasistisk propagande. Sj = E4lv tycker =
 jag entier att det = E4r n = E5got att
 orda om. Vore tacksam f = F6r din uppfattning. Tack p = E5 f = F6à droite.

Variante 5:

 Titre: =? Iso-8859-1? Q? Avskyv = E4rd_reklam.? =

 Corps du message:

 Hej!

 Min minder = E5rige son fick denna sk = E4rmsl = E4ckare p = E5 fr CD skiva via =
 ett massutskick av reklam. Jag uppr = F6rs = F6ver det s = E4tt p = E5 vilket =
 rasistiska och nazistiska propagandister till = E5ts f = F6rmedla sin =
 avskyv = E4rda idéologitill grange. Jag = F6verv = E4ger nu att polisanm = E4la detta tilltag s = E5 =
 snart du, je egenskap av juridisk fackman, delgett mig din = E5sikt. Tack =
 p = E5 f = F6à droite.

Variante 6:

 Titre: =? Iso-8859-1? Q? = D6verviktiga_f = F6rnedras.? =

 Corps du message:

 Hejsan!

 Jag = F6verv = E4ger att polisanm = E4la denna sk = E4rmsl = E4ckare. Jag anser =
 att den har en nedl = E5tande attityd gentemot = F6verviktiga personer. Jag =
 skulle bli ytterst tacksam om du kunde bidra med din syn p = E5 saken.
 Tack p = E5 f = F6à droite.

Variante 7:

 Titre: Allez ack ack ack ....

 Corps du message:

 Hej igen!

 Den = E4r sk = E4rmsl = E4ckaren verkar vara en amerikansk parodi p = E5 =
 n = E5got som svenskarna g = F6r p = E5 moyen terme. Skratta inte ihj = E4l dig =
 bara. :-)

Variante 8:

 Titre: =? Iso-8859-1? Q? = C4r_USA_ett_UFO = 3F? =

 Corps du message:

 Hej igen!

 H = E4r = E4r sk = E4rmsl = E4ckare numéro 4. Kolla in den och tala sedan om =
 f = F6r mig à George W. Bush INTE = E4r et rymdvarelse. ;-)

Variante 9:

 Titre: Président de Korkad.

 Corps du message:

 Hej igen!

 H = E4r = E4r sk = E4rmsl = E4ckaren som jag snackade om. George W. Bush verkar =
 inte vara allf = F6r brillant om homme ska tro brittiska komiker. '
  :-)

Variante 10:

 Titre: Katt, hund, kanin.

 Corps du message:

 Hej igen!

 Om de gillar djur s = E5 m = E5ste denna sk = E4rmsl = E4ckare vara n = E5'tf = F6r =
 creuser. Mjau, Voff, Arf Arf .... ;-)

Variantes de message en anglais:

Variante 1:

 Titre: Conseils d'économiseur d'écran.

 Corps du message:

 Pensez-vous que cet économiseur d'écran pourrait être considéré comme illégal? Would =
 apprécier si vous ou l'un de vos amis pourrait le vérifier et =
 répondre dès que
 humainement possible. Merci!

Variante 2:

 Titre: Photos d'espion.

 Corps du message:

 Voici l'économiseur d'écran dont je vous ai parlé. Il contient des images prises par =
 l'un des satellites d'espionnage américains lors de l'une de ses missions sur l'irak. Si =
 vous voulez plus de ces photos, vous savez où vous pouvez me trouver. Au revoir!

Variante 3:

 Titre: GO USA !!!!

 Corps du message:

 Cet économiseur d'écran anime la bannière étoilée. S'il vous plaît soutenir le =
 L'administration américaine dans sa lutte contre la terreur. Merci beaucoup!

Variante 4:

 Titre: Animation de GW Bush.

 Corps du message:

 Voici l'animation que le FBI veut arrêter. On dirait que les fédéraux sont =
 en essayant de mettre fin aux droits des peuples à dire ce qu'ils pensent des États-Unis =
 administration. S'amuser!

Variante 5:

 Titre: Les Etats-Unis sont-ils un OVNI?

 Corps du message:

 Jetez un oeil à cet économiseur d'écran, puis dites-moi que George.W Bush est =
 pas un étranger. ;-)

Variante 6:

 Titre: Les Etats-Unis sont-ils toujours le numéro un?

 Corps du message:

 Certaines personnes mal avisées croient réellement qu'une vie américaine a =
 plus grande valeur que celles des autres nationalités. Jetez un oeil à =
 cet économiseur d'écran pathétique et alors vous saurez de quoi je parle. =
 Bonne chance.

Variante 7:

 Titre: LINUX.

 Corps du message:

 Êtes-vous un utilisateur de Windows qui est curieux de l'environnement Linux? Ceci =
 screensaver vous donne un aperçu des bureaux KDE et GNOME. Quel est =
 De plus, LINUX est un système gratuit, ce qui signifie que tout le monde peut le télécharger.

Variante 8:

 Titre: La propagande nazie?

 Corps du message:

 Cet économiseur d'écran a été banni en Allemagne. Il contient un certain nombre de =
 symboles animés qui peuvent être liés à la culture nazie. Qu'est-ce que tu as =
 pense, est-ce une interdiction légitime ou non? Merci de répondre dès que possible. Merci!

Variante 9:

 Titre: Catlover.

 Corps du message:

 Si vous aimez les chats, vous allez adorer cet économiseur d'écran. C'est quatre animé =
 chatons qui courent sur l'écran. Contactez-moi pour plus de clipart. Avoir =
 amusement! ;-)

Variante 10:

 Titre: Propagande dégoûtante.

 Corps du message:

 salut! Mon doughter de 12 ans a reçu cet économiseur d'écran sur un CDROM
 a été envoyé à elle à travers la publicité. Je trouve troublant que les enfants =
 sont maintenant les cibles des organisations nazies. J'apprécierais d'entendre =
 de vous à ce sujet, dès que possible. Je vous remercie.

Le nom du fichier joint suit un système dont le nom est:

xx.scr (où 'XX' est deux lettres aléatoires allant de 'a' à 'z')

Le ver ne s'active que si un utilisateur clique sur le fichier joint infecté. Le ver s'installe ensuite dans le système et exécute sa routine d'épandage et sa charge utile.

Installation
Lors de l'installation du ver se copie dans le répertoire Windows sous le nom SCANDISK.exe et enregistre ce fichier dans la clé d'exécution automatique du Registre du système.

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
 ScanDisk =  SCANDISK.exe

Le ver se copie également sous un nom aléatoire (8 caractères avec des lettres allant de 'a' à 'z' + ".exe") dans le répertoire Windows.

Diffusion
Pour envoyer des messages infectés, le ver utilise le serveur SMTP. Il analyse la base de données WAB et recherche les fichiers par masque: "* .eml", "*. * Htm *", "* .dbx" et analyse les adresses e-mail à l'intérieur de ces fichiers.

Le ver insère son composant dans les types de fichiers exécutables suivants: Win32 PE EXE

Le ver recherche sur le disque local tous les fichiers .EXE et les fichiers .SCR et recherche les commandes spéciales. Si de telles commandes sont trouvées, elles insèrent leur composant dans la dernière section des fichiers PE. Le ver insère également la commande JMP dans les fichiers PE. Le composant inséré exécute le corps du ver principal à partir du répertoire Windows. Le code du composant contient les chaînes suivantes:


 KERNEL32.DLL 
 CreateProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA 
 CreateProcessA 
 hvjxlzna.EXE

Le ver Ganda se défend contre les programmes anti-virus. Le ver met fin aux processus actifs dans le code qui contient les chaînes de texte suivantes:


 virus 
 pare-feu 
 f-sécurisé 
 symantec 
 mcafee 
 pc-cillin 
 tendance micro 
 Kaspersky 
 sophos 
 Norton

Ganda analyse les fichiers à partir de l'arborescence du registre système:

 HKLMSystemCurrentControlSetServicesVxD

et supprime les entrées pour les fichiers avec des chaînes antivirus. Le ver analyse également les fichiers pointés par les clés de registre:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun     
 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Le ver Ganda insère la commande RET dans le point d'entrée des fichiers trouvés pour avoir des chaînes antivirus.

Charges utiles
Le ver envoie un message électronique chaque fois qu'il infecte une machine, le message contient les caractéristiques suivantes:

De:

 skrattahaha@hotmail.com

À:

 red@fna.se
 debatt@svt.se
 susanne.sjostedt@tidningen.to
 skolverket@skolverket.se
 mary.martensson@aftonbladet.se
 katarina.sternudd@aftonbladet.se
 cecilia.gustavsson@aftonbladet.se
 jessica.ritzen@aftonbladet.se
 margareta.cronquist@tidningen.to
 annika.sohlander@aftonbladet.se
 kerstin.danielson@aftonbladet.se
 insandare@tidningen.to
 insandare@aftonbladet.se

Le titre ou l'objet du message est:

 DISKRIMINERAD !!!!

Le corps du message contient du texte écrit en suédois.

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques Ganda est un virus de ver qui se propage via Internet en tant que pièce jointe. Il insère son composant dans des fichiers exécutables Win32 PE EXE et se protège contre les programmes antivirus. Le ver lui-même est un fichier Windows PE EXE qui a une taille de 45056 octets. Il est écrit dans le langage de programmation Assembler et contient les chaînes cryptées suivantes: [WORM.SWEDENSUX] Codé par l'oncle Roger à H�rn�sand, Suède, 03.03. Je suis discriminé par le système scolaire suédois. Ceci est une réponse à huit longues années de discrimination. Je soutiens les animaux-libérateurs dans le monde entier. Les messages avec le ver contiennent les chaînes de texte (les chaînes secondaires peuvent être ignorées par les programmes de messagerie): --partie 1 Type de contenu: multipart / alternative; boundary = "part2" --partie 2 Type de contenu: text / plain; jeu de caractères = "iso-8859-1" Content-Transfer-Encoding: quoted-imprimable Myzli! --partie 2 Type de contenu: text / html; jeu de caractères = "iso-8859-1" Content-Transfer-Encoding: quoted-imprimable Corps de massage --partie 2-- --partie 1 Type de contenu: application / octet-stream Content-Transfer-Encoding: base64 Contenu-Disposition: attachement; filename = "xx.scr" Un titre et un corps de message sont sélectionnés parmi les variantes suivantes en anglais et en suédois. La langue choisie dépend des paramètres de langue d'un ordinateur. Variantes de message suédoises: Variante 1: Titre: =? Iso-8859-1? Q? Olaglig_sk = E4rmsl = E4ckare = 3F? = Corps du message: Hej! Min fils visade mig denna sk = E4rmsl = E4ckare som jag misst = E4nker kan = bryta mot lagen om sauve le mot folkgrupp. Eftersom du = E4r verksam som = juriste, s = E5 vore jag tacksam f = F6r et fackmans syn p = E5 saken. Tack = p = E5 f = F6à droite. Variante 2: Titre: Rashets eller inte? Corps du message: Hejsan! Min datal = E4rare gjorde mig uppm = E4rksam p = E5 att denna = sk = E4rmsl = E4ckare m = F6jligen kan t = E4nkas vara ett verk av rasister. Nu = vet jag varken ut eller dans, eftersom jag hade t = E4nkt anv = E4nda den p = E5 = min skoldator. B = F6r jag att forts = E4tta att anv = E4nda den? Svara helst = snarast. Tack p = E5 f = F6à droite. Variante 3: Titre: Hakkors. Corps du message: Hej! Min klassf = F6rest = E5ndare gick je taque n = E4r hon fick se = sk = E4rmsl = E4ckaren som jag har anv = E4nt sous tv = E5 terminer. Hon = anklagade mig f = F6r antisémitisme eftersom den ibland visar ett hakkors. = ' Tycker du att jag b = F6r acceptea detta fr = E5n henne? Vore tacksam f = F6r = ett utl = E5tande fr = E5n creuser. Svara helst s = E5 snart det g = E5r. Variante 4: Titre: Suspekta semaforer. Corps du message: Hejsan! Je skolan hittade jag en CD skiva som inneh = F6ll bl.a denna = sk = E4rmsl = E4ckare. En E = E4rare som = E5kade kasta ett = F6ga p = E5 den = avf = E4rdade dess inneh = E5ll som ren rasistisk propagande. Sj = E4lv tycker = jag entier att det = E4r n = E5got att orda om. Vore tacksam f = F6r din uppfattning. Tack p = E5 f = F6à droite. Variante 5: Titre: =? Iso-8859-1? Q? Avskyv = E4rd_reklam.? = Corps du message: Hej! Min minder = E5rige son fick denna sk = E4rmsl = E4ckare p = E5 fr CD skiva via = ett massutskick av reklam. Jag uppr = F6rs = F6ver det s = E4tt p = E5 vilket = rasistiska och nazistiska propagandister till = E5ts f = F6rmedla sin = avskyv = E4rda idéologitill grange. Jag = F6verv = E4ger nu att polisanm = E4la detta tilltag s = E5 = snart du, je egenskap av juridisk fackman, delgett mig din = E5sikt. Tack = p = E5 f = F6à droite. Variante 6: Titre: =? Iso-8859-1? Q? = D6verviktiga_f = F6rnedras.? = Corps du message: Hejsan! Jag = F6verv = E4ger att polisanm = E4la denna sk = E4rmsl = E4ckare. Jag anser = att den har en nedl = E5tande attityd gentemot = F6verviktiga personer. Jag = skulle bli ytterst tacksam om du kunde bidra med din syn p = E5 saken. Tack p = E5 f = F6à droite. Variante 7: Titre: Allez ack ack ack .... Corps du message: Hej igen! Den = E4r sk = E4rmsl = E4ckaren verkar vara en amerikansk parodi p = E5 = n = E5got som svenskarna g = F6r p = E5 moyen terme. Skratta inte ihj = E4l dig = bara. :-) Variante 8: Titre: =? Iso-8859-1? Q? = C4r_USA_ett_UFO = 3F? = Corps du message: Hej igen! H = E4r = E4r sk = E4rmsl = E4ckare numéro 4. Kolla in den och tala sedan om = f = F6r mig à George W. Bush INTE = E4r et rymdvarelse. ;-) Variante 9: Titre: Président de Korkad. Corps du message: Hej igen! H = E4r = E4r sk = E4rmsl = E4ckaren som jag snackade om. George W. Bush verkar = inte vara allf = F6r brillant om homme ska tro brittiska komiker. ' :-) Variante 10: Titre: Katt, hund, kanin. Corps du message: Hej igen! Om de gillar djur s = E5 m = E5ste denna sk = E4rmsl = E4ckare vara n = E5'tf = F6r = creuser. Mjau, Voff, Arf Arf .... ;-) Variantes de message en anglais: Variante 1: Titre: Conseils d'économiseur d'écran. Corps du message: Pensez-vous que cet économiseur d'écran pourrait être considéré comme illégal? Would = apprécier si vous ou l'un de vos amis pourrait le vérifier et = répondre dès que humainement possible. Merci! Variante 2: Titre: Photos d'espion. Corps du message: Voici l'économiseur d'écran dont je vous ai parlé. Il contient des images prises par = l'un des satellites d'espionnage américains lors de l'une de ses missions sur l'irak. Si = vous voulez plus de ces photos, vous savez où vous pouvez me trouver. Au revoir! Variante 3: Titre: GO USA !!!! Corps du message: Cet économiseur d'écran anime la bannière étoilée. S'il vous plaît soutenir le = L'administration américaine dans sa lutte contre la terreur. Merci beaucoup! Variante 4: Titre: Animation de GW Bush. Corps du message: Voici l'animation que le FBI veut arrêter. On dirait que les fédéraux sont = en essayant de mettre fin aux droits des peuples à dire ce qu'ils pensent des États-Unis = administration. S'amuser! Variante 5: Titre: Les Etats-Unis sont-ils un OVNI? Corps du message: Jetez un oeil à cet économiseur d'écran, puis dites-moi que George.W Bush est = pas un étranger. ;-) Variante 6: Titre: Les Etats-Unis sont-ils toujours le numéro un? Corps du message: Certaines personnes mal avisées croient réellement qu'une vie américaine a = plus grande valeur que celles des autres nationalités. Jetez un oeil à = cet économiseur d'écran pathétique et alors vous saurez de quoi je parle. = Bonne chance. Variante 7: Titre: LINUX. Corps du message: Êtes-vous un utilisateur de Windows qui est curieux de l'environnement Linux? Ceci = screensaver vous donne un aperçu des bureaux KDE et GNOME. Quel est = De plus, LINUX est un système gratuit, ce qui signifie que tout le monde peut le télécharger. Variante 8: Titre: La propagande nazie? Corps du message: Cet économiseur d'écran a été banni en Allemagne. Il contient un certain nombre de = symboles animés qui peuvent être liés à la culture nazie. Qu'est-ce que tu as = pense, est-ce une interdiction légitime ou non? Merci de répondre dès que possible. Merci! Variante 9: Titre: Catlover. Corps du message: Si vous aimez les chats, vous allez adorer cet économiseur d'écran. C'est quatre animé = chatons qui courent sur l'écran. Contactez-moi pour plus de clipart. Avoir = amusement! ;-) Variante 10: Titre: Propagande dégoûtante. Corps du message: salut! Mon doughter de 12 ans a reçu cet économiseur d'écran sur un CDROM a été envoyé à elle à travers la publicité. Je trouve troublant que les enfants = sont maintenant les cibles des organisations nazies. J'apprécierais d'entendre = de vous à ce sujet, dès que possible. Je vous remercie. Le nom du fichier joint suit un système dont le nom est: xx.scr (où 'XX' est deux lettres aléatoires allant de 'a' à 'z') Le ver ne s'active que si un utilisateur clique sur le fichier joint infecté. Le ver s'installe ensuite dans le système et exécute sa routine d'épandage et sa charge utile. Installation Lors de l'installation du ver se copie dans le répertoire Windows sous le nom SCANDISK.exe et enregistre ce fichier dans la clé d'exécution automatique du Registre du système. HKLMSoftwareMicrosoftWindowsCurrentVersionRun ScanDisk = SCANDISK.exe Le ver se copie également sous un nom aléatoire (8 caractères avec des lettres allant de 'a' à 'z' + ".exe") dans le répertoire Windows. Diffusion Pour envoyer des messages infectés, le ver utilise le serveur SMTP. Il analyse la base de données WAB et recherche les fichiers par masque: *" .eml", ". Htm ", " .dbx" et analyse les adresses e-mail à l'intérieur de ces fichiers. Le ver insère son composant dans les types de fichiers exécutables suivants: Win32 PE EXE Le ver recherche sur le disque local tous les fichiers .EXE et les fichiers .SCR et recherche les commandes spéciales. Si de telles commandes sont trouvées, elles insèrent leur composant dans la dernière section des fichiers PE. Le ver insère également la commande JMP dans les fichiers PE. Le composant inséré exécute le corps du ver principal à partir du répertoire Windows. Le code du composant contient les chaînes suivantes: KERNEL32.DLL CreateProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA CreateProcessA hvjxlzna.EXE Le ver Ganda se défend contre les programmes anti-virus. Le ver met fin aux processus actifs dans le code qui contient les chaînes de texte suivantes: virus pare-feu f-sécurisé symantec mcafee pc-cillin tendance micro Kaspersky sophos Norton Ganda analyse les fichiers à partir de l'arborescence du registre système: HKLMSystemCurrentControlSetServicesVxD et supprime les entrées pour les fichiers avec des chaînes antivirus. Le ver analyse également les fichiers pointés par les clés de registre: HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices Le ver Ganda insère la commande RET dans le point d'entrée des fichiers trouvés pour avoir des chaînes antivirus. Charges utiles Le ver envoie un message électronique chaque fois qu'il infecte une machine, le message contient les caractéristiques suivantes: De: skrattahaha@hotmail.com À: red@fna.se debatt@svt.se susanne.sjostedt@tidningen.to skolverket@skolverket.se mary.martensson@aftonbladet.se katarina.sternudd@aftonbladet.se cecilia.gustavsson@aftonbladet.se jessica.ritzen@aftonbladet.se margareta.cronquist@tidningen.to annika.sohlander@aftonbladet.se kerstin.danielson@aftonbladet.se insandare@tidningen.to insandare@aftonbladet.se Le titre ou l'objet du message est: DISKRIMINERAD !!!!** Le corps du message contient du texte écrit en suédois.
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Email-Worm.Win32.Ganda

Détails techniques