Classe pour les parents: VirWare
Les virus et les vers sont des programmes malveillants qui s'auto-répliquent sur des ordinateurs ou via des réseaux informatiques sans que l'utilisateur en soit conscient; chaque copie ultérieure de tels programmes malveillants est également capable de s'autoreproduire. Les programmes malveillants qui se propagent via des réseaux ou infectent des machines distantes lorsque le "propriétaire" (par exemple Backdoors) ou les programmes qui créent plusieurs copies qui ne peuvent pas s'auto-répliquer ne font pas partie de la sous-classe Virus and Worms. La caractéristique principale utilisée pour déterminer si un programme est classé comme un comportement distinct dans la sous-classe Virus and Worms est la manière dont le programme se propage (c'est-à-dire comment le programme malveillant répand des copies de lui-même via des ressources locales ou réseau). en tant que fichiers envoyés en pièces jointes, via un lien vers une ressource Web ou FTP, via un lien envoyé dans un message ICQ ou IRC, via des réseaux de partage de fichiers P2P, etc. Certains vers se propagent sous la forme de paquets réseau; ceux-ci pénètrent directement dans la mémoire de l'ordinateur et le code du ver est alors activé. Worms utilise les techniques suivantes pour pénétrer des ordinateurs distants et lancer des copies d'eux-mêmes: ingénierie sociale (par exemple, un message électronique suggérant que l'utilisateur ouvre un fichier joint), exploitation des erreurs de configuration réseau (par exemple copie sur disque entièrement accessible) failles dans la sécurité du système d'exploitation et des applications. Les virus peuvent être divisés en fonction de la méthode utilisée pour infecter un ordinateur: virus de fichiers virus du secteur de démarrage virus de script virus de virus Tous les programmes de cette sous-classe peuvent avoir des fonctions de Troie supplémentaires. Il convient également de noter que de nombreux vers utilisent plus d'une méthode pour diffuser des copies via des réseaux. Les règles de classification des objets détectés avec des fonctions multiples doivent être utilisées pour classer ces types de vers.Classe: Email-Worm
Email-Worms propagation par e-mail. Le ver envoie une copie de lui-même en pièce jointe à un message électronique ou un lien vers son fichier sur une ressource réseau (par exemple, une URL vers un fichier infecté sur un site Web compromis ou un site Web appartenant à un pirate). Dans le premier cas, le code du ver est activé lorsque la pièce jointe infectée est ouverte (lancée). Dans le second cas, le code est activé lorsque le lien vers le fichier infecté est ouvert. Dans les deux cas, le résultat est le même: le code du ver est activé. Email-Worms utilise une gamme de méthodes pour envoyer des emails infectés. Les plus courantes sont: l'utilisation d'une connexion directe à un serveur SMTP à l'aide du répertoire de messagerie intégré dans le code du ver en utilisant les services MS Outlook à l'aide des fonctions Windows MAPI. Email-Worms utilisent un certain nombre de sources différentes pour trouver les adresses email auxquelles les emails infectés seront envoyés: le carnet d'adresses dans MS Outlook une base de données d'adresses WAB .txt fichiers stockés sur le disque dur: le ver peut identifier les chaînes dans les fichiers texte Les e-mails adressent des e-mails dans la boîte de réception (certains e-mails peuvent même répondre aux e-mails trouvés dans la boîte de réception) De nombreux vers de messagerie utilisent plus d'une des sources répertoriées ci-dessus. Il existe également d'autres sources d'adresses électroniques, telles que les carnets d'adresses associés aux services de messagerie Web.Plus d'informations
Plateforme: Win32
Win32 est une API sur les systèmes d'exploitation Windows NT (Windows XP, Windows 7, etc.) qui prend en charge l'exécution des applications 32 bits. L'une des plateformes de programmation les plus répandues au monde.Description
Détails techniques
Ganda est un virus de ver qui se propage via Internet en tant que pièce jointe. Il insère son composant dans des fichiers exécutables Win32 PE EXE et se protège contre les programmes antivirus.Le ver lui-même est un fichier Windows PE EXE qui a une taille de 45056 octets. Il est écrit dans le langage de programmation Assembler et contient les chaînes cryptées suivantes:
[WORM.SWEDENSUX] Codé par l'oncle Roger à H�rn�sand, Suède, 03.03. Je suis discriminé par le système scolaire suédois. Ceci est une réponse à huit longues années de discrimination. Je soutiens les animaux-libérateurs dans le monde entier.
Les messages avec le ver contiennent les chaînes de texte (les chaînes secondaires peuvent être ignorées par les programmes de messagerie):
--partie 1 Type de contenu: multipart / alternative; boundary = "part2" --partie 2 Type de contenu: text / plain; jeu de caractères = "iso-8859-1" Content-Transfer-Encoding: quoted-imprimable Myzli! --partie 2 Type de contenu: text / html; jeu de caractères = "iso-8859-1" Content-Transfer-Encoding: quoted-imprimable Corps de massage --partie 2-- --partie 1 Type de contenu: application / octet-stream Content-Transfer-Encoding: base64 Contenu-Disposition: attachement; filename = "xx.scr"
Un titre et un corps de message sont sélectionnés parmi les variantes suivantes en anglais et en suédois. La langue choisie dépend des paramètres de langue d'un ordinateur.
Variantes de message suédoises:
Variante 1:
Titre: =? Iso-8859-1? Q? Olaglig_sk = E4rmsl = E4ckare = 3F? = Corps du message: Hej! Min fils visade mig denna sk = E4rmsl = E4ckare som jag misst = E4nker kan = bryta mot lagen om sauve le mot folkgrupp. Eftersom du = E4r verksam som = juriste, s = E5 vore jag tacksam f = F6r et fackmans syn p = E5 saken. Tack = p = E5 f = F6à droite.
Variante 2:
Titre: Rashets eller inte? Corps du message: Hejsan! Min datal = E4rare gjorde mig uppm = E4rksam p = E5 att denna = sk = E4rmsl = E4ckare m = F6jligen kan t = E4nkas vara ett verk av rasister. Nu = vet jag varken ut eller dans, eftersom jag hade t = E4nkt anv = E4nda den p = E5 = min skoldator. B = F6r jag att forts = E4tta att anv = E4nda den? Svara helst = snarast. Tack p = E5 f = F6à droite.
Variante 3:
Titre: Hakkors. Corps du message: Hej! Min klassf = F6rest = E5ndare gick je taque n = E4r hon fick se = sk = E4rmsl = E4ckaren som jag har anv = E4nt sous tv = E5 terminer. Hon = anklagade mig f = F6r antisémitisme eftersom den ibland visar ett hakkors. = ' Tycker du att jag b = F6r acceptea detta fr = E5n henne? Vore tacksam f = F6r = ett utl = E5tande fr = E5n creuser. Svara helst s = E5 snart det g = E5r.
Variante 4:
Titre: Suspekta semaforer. Corps du message: Hejsan! Je skolan hittade jag en CD skiva som inneh = F6ll bl.a denna = sk = E4rmsl = E4ckare. En E = E4rare som = E5kade kasta ett = F6ga p = E5 den = avf = E4rdade dess inneh = E5ll som ren rasistisk propagande. Sj = E4lv tycker = jag entier att det = E4r n = E5got att orda om. Vore tacksam f = F6r din uppfattning. Tack p = E5 f = F6à droite.
Variante 5:
Titre: =? Iso-8859-1? Q? Avskyv = E4rd_reklam.? = Corps du message: Hej! Min minder = E5rige son fick denna sk = E4rmsl = E4ckare p = E5 fr CD skiva via = ett massutskick av reklam. Jag uppr = F6rs = F6ver det s = E4tt p = E5 vilket = rasistiska och nazistiska propagandister till = E5ts f = F6rmedla sin = avskyv = E4rda idéologitill grange. Jag = F6verv = E4ger nu att polisanm = E4la detta tilltag s = E5 = snart du, je egenskap av juridisk fackman, delgett mig din = E5sikt. Tack = p = E5 f = F6à droite.
Variante 6:
Titre: =? Iso-8859-1? Q? = D6verviktiga_f = F6rnedras.? = Corps du message: Hejsan! Jag = F6verv = E4ger att polisanm = E4la denna sk = E4rmsl = E4ckare. Jag anser = att den har en nedl = E5tande attityd gentemot = F6verviktiga personer. Jag = skulle bli ytterst tacksam om du kunde bidra med din syn p = E5 saken. Tack p = E5 f = F6à droite.
Variante 7:
Titre: Allez ack ack ack .... Corps du message: Hej igen! Den = E4r sk = E4rmsl = E4ckaren verkar vara en amerikansk parodi p = E5 = n = E5got som svenskarna g = F6r p = E5 moyen terme. Skratta inte ihj = E4l dig = bara. :-)
Variante 8:
Titre: =? Iso-8859-1? Q? = C4r_USA_ett_UFO = 3F? = Corps du message: Hej igen! H = E4r = E4r sk = E4rmsl = E4ckare numéro 4. Kolla in den och tala sedan om = f = F6r mig à George W. Bush INTE = E4r et rymdvarelse. ;-)
Variante 9:
Titre: Président de Korkad. Corps du message: Hej igen! H = E4r = E4r sk = E4rmsl = E4ckaren som jag snackade om. George W. Bush verkar = inte vara allf = F6r brillant om homme ska tro brittiska komiker. ':-)
Variante 10:
Titre: Katt, hund, kanin. Corps du message: Hej igen! Om de gillar djur s = E5 m = E5ste denna sk = E4rmsl = E4ckare vara n = E5'tf = F6r = creuser. Mjau, Voff, Arf Arf .... ;-)
Variantes de message en anglais:
Variante 1:
Titre: Conseils d'économiseur d'écran. Corps du message: Pensez-vous que cet économiseur d'écran pourrait être considéré comme illégal? Would = apprécier si vous ou l'un de vos amis pourrait le vérifier et = répondre dès que humainement possible. Merci!
Variante 2:
Titre: Photos d'espion. Corps du message: Voici l'économiseur d'écran dont je vous ai parlé. Il contient des images prises par = l'un des satellites d'espionnage américains lors de l'une de ses missions sur l'irak. Si = vous voulez plus de ces photos, vous savez où vous pouvez me trouver. Au revoir!
Variante 3:
Titre: GO USA !!!! Corps du message: Cet économiseur d'écran anime la bannière étoilée. S'il vous plaît soutenir le = L'administration américaine dans sa lutte contre la terreur. Merci beaucoup!
Variante 4:
Titre: Animation de GW Bush. Corps du message: Voici l'animation que le FBI veut arrêter. On dirait que les fédéraux sont = en essayant de mettre fin aux droits des peuples à dire ce qu'ils pensent des États-Unis = administration. S'amuser!
Variante 5:
Titre: Les Etats-Unis sont-ils un OVNI? Corps du message: Jetez un oeil à cet économiseur d'écran, puis dites-moi que George.W Bush est = pas un étranger. ;-)
Variante 6:
Titre: Les Etats-Unis sont-ils toujours le numéro un? Corps du message: Certaines personnes mal avisées croient réellement qu'une vie américaine a = plus grande valeur que celles des autres nationalités. Jetez un oeil à = cet économiseur d'écran pathétique et alors vous saurez de quoi je parle. = Bonne chance.
Variante 7:
Titre: LINUX. Corps du message: Êtes-vous un utilisateur de Windows qui est curieux de l'environnement Linux? Ceci = screensaver vous donne un aperçu des bureaux KDE et GNOME. Quel est = De plus, LINUX est un système gratuit, ce qui signifie que tout le monde peut le télécharger.
Variante 8:
Titre: La propagande nazie? Corps du message: Cet économiseur d'écran a été banni en Allemagne. Il contient un certain nombre de = symboles animés qui peuvent être liés à la culture nazie. Qu'est-ce que tu as = pense, est-ce une interdiction légitime ou non? Merci de répondre dès que possible. Merci!
Variante 9:
Titre: Catlover. Corps du message: Si vous aimez les chats, vous allez adorer cet économiseur d'écran. C'est quatre animé = chatons qui courent sur l'écran. Contactez-moi pour plus de clipart. Avoir = amusement! ;-)
Variante 10:
Titre: Propagande dégoûtante. Corps du message: salut! Mon doughter de 12 ans a reçu cet économiseur d'écran sur un CDROM a été envoyé à elle à travers la publicité. Je trouve troublant que les enfants = sont maintenant les cibles des organisations nazies. J'apprécierais d'entendre = de vous à ce sujet, dès que possible. Je vous remercie.
Le nom du fichier joint suit un système dont le nom est:
xx.scr (où 'XX' est deux lettres aléatoires allant de 'a' à 'z')
Le ver ne s'active que si un utilisateur clique sur le fichier joint infecté. Le ver s'installe ensuite dans le système et exécute sa routine d'épandage et sa charge utile.
Installation
Lors de l'installation du ver se copie dans le répertoire Windows sous le nom SCANDISK.exe et enregistre ce fichier dans la clé d'exécution automatique du Registre du système.
HKLMSoftwareMicrosoftWindowsCurrentVersionRun ScanDisk =SCANDISK.exe
Le ver se copie également sous un nom aléatoire (8 caractères avec des lettres allant de 'a' à 'z' + ".exe") dans le répertoire Windows.
Diffusion
Pour envoyer des messages infectés, le ver utilise le serveur SMTP. Il analyse la base de données WAB et recherche les fichiers par masque: "* .eml", "*. * Htm *", "* .dbx" et analyse les adresses e-mail à l'intérieur de ces fichiers.
Le ver insère son composant dans les types de fichiers exécutables suivants: Win32 PE EXE
Le ver recherche sur le disque local tous les fichiers .EXE et les fichiers .SCR et recherche les commandes spéciales. Si de telles commandes sont trouvées, elles insèrent leur composant dans la dernière section des fichiers PE. Le ver insère également la commande JMP dans les fichiers PE. Le composant inséré exécute le corps du ver principal à partir du répertoire Windows. Le code du composant contient les chaînes suivantes:
KERNEL32.DLL CreateProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA CreateProcessA hvjxlzna.EXE
Le ver Ganda se défend contre les programmes anti-virus. Le ver met fin aux processus actifs dans le code qui contient les chaînes de texte suivantes:
virus pare-feu f-sécurisé symantec mcafee pc-cillin tendance micro Kaspersky sophos Norton
Ganda analyse les fichiers à partir de l'arborescence du registre système:
HKLMSystemCurrentControlSetServicesVxD
et supprime les entrées pour les fichiers avec des chaînes antivirus. Le ver analyse également les fichiers pointés par les clés de registre:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Le ver Ganda insère la commande RET dans le point d'entrée des fichiers trouvés pour avoir des chaînes antivirus.
Charges utiles
Le ver envoie un message électronique chaque fois qu'il infecte une machine, le message contient les caractéristiques suivantes:
De: skrattahaha@hotmail.comÀ: red@fna.se debatt@svt.se susanne.sjostedt@tidningen.to skolverket@skolverket.se mary.martensson@aftonbladet.se katarina.sternudd@aftonbladet.se cecilia.gustavsson@aftonbladet.se jessica.ritzen@aftonbladet.se margareta.cronquist@tidningen.to annika.sohlander@aftonbladet.se kerstin.danielson@aftonbladet.se insandare@tidningen.to insandare@aftonbladet.se
Le titre ou l'objet du message est:
DISKRIMINERAD !!!!
Le corps du message contient du texte écrit en suédois.
En savoir plus
Découvrez les statistiques de la propagation des vulnérabilités dans votre région statistics.securelist.com