Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

Gandaは、電子メールの添付ファイルとしてインターネットを介して広がるワームのウイルスです。実行可能なWin32 PE EXEファイルにそのコンポーネントを挿入し、ウイルス対策プログラムから自身を保護します。

ワーム自体は、サイズが45056バイトのWindows PE EXEファイルです。アセンブラプログラミング言語で記述され、次の暗号化された文字列を含みます。

 [WORM.SWEDENSUX] Hobern、スウェーデン、03.03にロジャー叔父がコード化した。
 私はスウェーデンの学校制度によって差別されています。これは応答です
 長年にわたる差別の8年間。
 私は世界各地の動物園芸家を支援しています。

ワームのメッセージにはテキスト文字列が含まれています（セカンダリ文字列は電子メールプログラムで無視されることがあります）。


  - パート1
 コンテンツタイプ：multipart / alternative;境界= "part2"

  - パート2
 コンテンツタイプ：text / plain; charset = "iso-8859-1"
 コンテンツ転送エンコーディング：quoted-printable

 ミズリ！

  - パート2
 コンテンツタイプ：text / html; charset = "iso-8859-1"
 コンテンツ転送エンコーディング：quoted-printable

 
  マッサージボディー
 

  - パート2 - 

  - パート1
 コンテンツタイプ：アプリケーション/オクテットストリーム
 コンテンツ転送エンコーディング：base64
 内容 - 処分：添付; filename = "xx.scr"

タイトルとメッセージ本文は、英語とスウェーデン語の次の亜種から選択されます。選択する言語は、コンピュータの言語設定によって異なります。

スウェーデンのメッセージの亜種：

変形例1：

 タイトル：= iso-8859-1？Q？Olaglig_sk = E4rmsl = E4ckare = 3F？=

 メッセージ本文：

 ヘイ！

 Min son visade mig denna sk = E4rmsl = E4ckare som Jag misst = E4nker kan =
 ブライタ・モン・ラゲン、モーツ・フォーク・グループ。 Eftersom du = E4r verksam som =
 jurist、s = E5痛みジャグtamsam f = F6r en fackmans syn p = E5 saken。タック=
 p = E5 f = F6rhand。

変形例2：

 タイトル：Rashets elleller？

 メッセージ本文：

 Hejsan！

 Min datal = E 4 rare gjorde mig uppm = E 4rksam p = E 5 att denna =
 sk = E4rmsl = E4ckarem = F6jligen kan t = E4nkas vara ett verk av rasister。 Nu =
 E4 = E4 = E4 = E4 = E4 = E5 = E5 =
 min skoldator。 B = F6rジャグアートforts = E4tta att anv = E4nda den？スヴァラ・ヘルスト=
 鼻くそ
 タックp = E5f = F6rhand。

変形例3：

 タイトル：Hakkors。

 メッセージ本文：

 ヘイ！

 Min klassf = F6rest = E5ndare gick i taket n = E4r hon fick se =
 sk = E4rmsl = E4ckaren som jag har anv = tv = E5ターミネータの下のE4nt。 Hon =
 anklagade mig f = F6r反エスキモー島のibland visa hakkors。 = '
 タイカー・デュ・アット・ジャグb = F6rアクセテラ・デッタ・フタ= E5nヘイン？ボア・タクサムf = F6r =
 ett utl = E 5tande fr = E 5n dig。 Svara helst s = E5 snart det g = E5r。

変形例4：

 タイトル：Suspekta semaforer

 メッセージ本文：

 Hejsan！

 私はあなたのCDを聞いています= F6ll bl.a denna =
 sk = E4rmsl = E4ckare。 En = E4 rares = E5kade kaet = F6ga p = E5 den =
 avf = E4rdade dess inneh = E5llはrsistiskプロパガンダを雇う。 S j = E 4lv tycker =
 jag inte att det = E4r n = E5got att
 orda om。ヴォア・タクサムf = F6rダンプ・アップ。タックp = E5f = F6rhand。

変形例5：

 タイトル：= iso-8859-1？Q？Avskyv = E4rd_reklam？=

 メッセージ本文：

 ヘイ！

 min minder = E5rige son fick denna sk = E4rmsl = E4ckare p = E5 en CD skiva via =
 エタマチュキックキックレクラム。 Jag uppr = F6rs = F6ver det s = E4tt p = E5 vilket =
 rasistiska och nazistiska propagandisterまで= E 5ts f = F 6rmedla sin =
 avskyv = E4rdaイデオロギル納屋。 Jag = F6verv = E4ger nu att polisanm = E4la detta tilltag s = E5 =
 snart du、私は例えばjuridisk fackman、delgett mig din = E5siktです。タック=
 p = E5 f = F6rhand。

変形例6：

 タイトル：= iso-8859-1？Q？= D6verviktiga_f = F6rnedras？=

 メッセージ本文：

 Hejsan！

 Jag = F6verv = E4ger att polisanm = E4la denna sk = E4rmsl = E4ckare。ジャグアンサー=
 att den har en nedl = E5tande attentd gentemot = F6verviktiga personer。 Jag =
 E5は撮影されています。
 タックp = E5f = F6rhand。

バリアント7：

 タイトル：Go ack ack ack ....

 メッセージ本文：

 Hej igen！

 Denh = E4r sk = E4rmsl = E4ckear verkar vara en amerikansk parodi p = E5 =
 n = E5got som svenskarna g = F6r p = E5 midsommar。 Skratta inte ihj = E4l dig =
 バラ。 :-)

変形例8：

 タイトル：= iso-8859-1？Q？= C4r_USA_ett_UFO = 3F？=

 メッセージ本文：

 Hej igen！

 H = E4r = E4r sk = E4rmsl = E4cker 4. Kolla in de tala sedan om =
 f = F6r mig att George W Bush INTE = E4r en rymdvarelse。 ;-)

変形例9：

 タイトル：コーカッド社長。

 メッセージ本文：

 Hej igen！

 H = E4r = E4r sk = E4rmsl = E4ckaren som jag snackade om。ジョージWブッシュverkar =
 すべての=すべての= F6r明るい男のスカ、トロフィー、 '
  :-)

変形例10：

 タイトル：Katt、hund、kanin。

 メッセージ本文：

 Hej igen！

 Om du gillar djur s = E5m = E5ste denna sk = E4rmsl = E4ckarevara n = E5'tf = F6r =
 掘る。 Mjau、Voff、Arf Arf .... ;-)

英語メッセージの変形：

変形例1：

 タイトル：スクリーンセーバーのアドバイス。

 メッセージ本文：

 あなたはこのスクリーンセーバーが違法と考えられると思いますか？ 〜=
 あなたやあなたの友人の誰かがそれをチェックして=
 すぐに答える
 人間的に可能です。ありがとう！

変形例2：

 タイトル：スパイ写真。

 メッセージ本文：

 ここに私が言ったスクリーンセーバーがあります。それは=
 そのうちの1つの間に米国のスパイ衛星の1つはイラクの任務です。 If =
 あなたは、あなたが私を見つけることができる場所を知っているこれらの写真の多くをしたい。さようなら！

変形例3：

 タイトル：GO USA !!!!

 メッセージ本文：

 このスクリーンセーバーは、スタースパングルバナーをアニメーション化します。 =
 テロとの戦いに対する米国の政権。どうもありがとう！

変形例4：

 タイトル：GW Bushアニメーション。

 メッセージ本文：

 FBIが停止したいアニメーションは次のとおりです。連中のように見える=
 人々の権利を終わらせようとしているのは、彼らがアメリカ=
 投与。楽しむ！

変形例5：

 タイトル：アメリカはUFOですか？

 メッセージ本文：

 このスクリーンセーバーを見て、それからGeorge.W Bushが=
 エイリアンではありません。 ;-)

変形例6：

 タイトル：アメリカはいつもナンバーワンですか？

 メッセージ本文：

 いくつかの間違った人たちは、アメリカの人生は、
 他の国籍の人よりも大きな価値があります。ちょっと見てみましょう=
 この哀れなスクリーンセーバー、そしてあなたは私が何を言っているのか知っているでしょう。 =
 ではごきげんよう。

バリアント7：

 タイトル：LINUX。

 メッセージ本文：

 あなたは、Linux環境について興味があるWindowsユーザーですか？これは=
 スクリーンセーバーは、KDEとGNOMEデスクトップのプレビューを提供します。何が=
 さらに、Linuxは誰でもダウンロードできる無料のシステムです。

変形例8：

 タイトル：ナチスの宣伝？

 メッセージ本文：

 このスクリーンセーバーはドイツで禁止されています。これには、
 ナチス文化に関連するアニメーションシンボル。あなたは何ですか？
 それは正当な禁止かどうか？早く答えてください。ありがとう！

変形例9：

 タイトル：Catlover

 メッセージ本文：

 あなたが猫が好きなら、このスクリーンセーバーが大好きです。それは4つのアニメーション=
 子猫は画面上を走っている。より多くのクリップアートのために私に連絡してください。ありがとう=
 楽しい！ ;-)

変形例10：

 タイトル：嫌な宣伝。

 メッセージ本文：

 こんにちは！私の12歳のdoughterは、このスクリーンセーバーをCDROMで入手しました=
 広告を通して彼女に送られました。私はそれが子供たち=
 ナチス組織の標的になっている。私は聞いていただければ幸いです=
 できるだけ早くこの問題についてあなたからありがとうございました。

添付ファイルの名前は、次の名前のシステムに従います。

xx.scr（ 'XX'は 'a'から 'z'までの2つのランダムな文字です）

ワームは、ユーザーが感染した添付ファイルをクリックした場合にのみアクティブになります。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。

インストール
このワームをインストールすると、 SCANDISK.exeという名前でWindowsディレクトリに自身をコピーし、このファイルをシステムレジストリの自動実行キーに登録します。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
 スキャンディスク=  SCANDISK.exe

ワームはまた、「a」から「z」+「.exe」までの8文字の長さの文字列）をWindowsディレクトリにコピーします。

広がる
ワームは、感染したメッセージを送信するために、SMTPサーバーを使用します。 WABデータベースをスキャンし、 "* .eml"、 "*。* htm *"、 "* .dbx"というマスクでファイルを検索し、これらのファイル内の電子メールアドレスをスキャンします。

ワームは、そのコンポーネントを次の実行可能ファイルの種類に挿入します。Win32 PE EXE

ワームはローカルディスク内のすべての.EXEファイルと.SCRファイルを検索し、特別なコマンドを探します。このようなコマンドが見つかった場合は、そのコンポーネントをPEファイルの最後のセクションに挿入します。ワームは、JMPコマンドをPEファイルの中に挿入します。挿入されたコンポーネントは、Windowsディレクトリからメインワーム本体を実行します。コンポーネントコードには、次の文字列が含まれています。


 KERNEL32.DLL 
 CreateProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA 
 CreateProcessA 
 hvjxlzna.EXE

Gandaのワームは、アンチウイルスプログラムから防御しています。ワームは、次のテキスト文字列を含むコードでアクティブなプロセスを終了します。


 ウイルス 
 ファイアーウォール 
 f-secure 
 シマンテック 
 mcafee 
 PC-CLLIN 
 トレンドマイクロ 
 カスペルスキー 
 ソソス 
 ノーノン

Gandaは、システムレジストリツリーからファイル内をスキャンします。

 HKLMSystemCurrentControlSetServicesVxD

アンチウイルス文字列を含むファイルのエントリを削除します。ワームはまた、レジストリキーが指すファイル内をスキャンします。

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun     
 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Gandaワームは、アンチウイルス文字列を持つファイルのエントリポイントにRETコマンドを挿入します。

ペイロード
ワームは、マシンに感染するたびに電子メールメッセージを送信します。メッセージには次のような特徴があります。

から：

 skrattahaha@hotmail.com

に：

 red@fna.se
 debatt@svt.se
 susanne.sjostedt@tidningen.to
 skolverket@skolverket.se
 mary.martensson@aftonbladet.se
 katarina.sternudd@aftonbladet.se
 cecilia.gustavsson@aftonbladet.se
 jessica.ritzen@aftonbladet.se
 margareta.cronquist@tidningen.to
 annika.sohlander@aftonbladet.se
 kerstin.danielson@aftonbladet.se
 insandare@tidningen.to
 insandare@aftonbladet.se

メッセージのタイトルまたは件名は次のとおりです。

 DISKRIMINERAD !!!!

メッセージ本文には、スウェーデン語で書かれたテキストが含まれています。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Email-Worm
プラットフォーム	Win32
説明	技術的な詳細 Gandaは、電子メールの添付ファイルとしてインターネットを介して広がるワームのウイルスです。実行可能なWin32 PE EXEファイルにそのコンポーネントを挿入し、ウイルス対策プログラムから自身を保護します。ワーム自体は、サイズが45056バイトのWindows PE EXEファイルです。アセンブラプログラミング言語で記述され、次の暗号化された文字列を含みます。 [WORM.SWEDENSUX] Hobern、スウェーデン、03.03にロジャー叔父がコード化した。私はスウェーデンの学校制度によって差別されています。これは応答です長年にわたる差別の8年間。私は世界各地の動物園芸家を支援しています。ワームのメッセージにはテキスト文字列が含まれています（セカンダリ文字列は電子メールプログラムで無視されることがあります）。 - パート1 コンテンツタイプ：multipart / alternative;境界= "part2" - パート2 コンテンツタイプ：text / plain; charset = "iso-8859-1" コンテンツ転送エンコーディング：quoted-printable ミズリ！ - パート2 コンテンツタイプ：text / html; charset = "iso-8859-1" コンテンツ転送エンコーディング：quoted-printable マッサージボディー - パート2 - - パート1 コンテンツタイプ：アプリケーション/オクテットストリームコンテンツ転送エンコーディング：base64 内容 - 処分：添付; filename = "xx.scr" タイトルとメッセージ本文は、英語とスウェーデン語の次の亜種から選択されます。選択する言語は、コンピュータの言語設定によって異なります。スウェーデンのメッセージの亜種：変形例1：タイトル：= iso-8859-1？Q？Olaglig_sk = E4rmsl = E4ckare = 3F？= メッセージ本文：ヘイ！ Min son visade mig denna sk = E4rmsl = E4ckare som Jag misst = E4nker kan = ブライタ・モン・ラゲン、モーツ・フォーク・グループ。 Eftersom du = E4r verksam som = jurist、s = E5痛みジャグtamsam f = F6r en fackmans syn p = E5 saken。タック= p = E5 f = F6rhand。変形例2：タイトル：Rashets elleller？メッセージ本文： Hejsan！ Min datal = E 4 rare gjorde mig uppm = E 4rksam p = E 5 att denna = sk = E4rmsl = E4ckarem = F6jligen kan t = E4nkas vara ett verk av rasister。 Nu = E4 = E4 = E4 = E4 = E4 = E5 = E5 = min skoldator。 B = F6rジャグアートforts = E4tta att anv = E4nda den？スヴァラ・ヘルスト= 鼻くそタックp = E5f = F6rhand。変形例3：タイトル：Hakkors。メッセージ本文：ヘイ！ Min klassf = F6rest = E5ndare gick i taket n = E4r hon fick se = sk = E4rmsl = E4ckaren som jag har anv = tv = E5ターミネータの下のE4nt。 Hon = anklagade mig f = F6r反エスキモー島のibland visa hakkors。 = ' タイカー・デュ・アット・ジャグb = F6rアクセテラ・デッタ・フタ= E5nヘイン？ボア・タクサムf = F6r = ett utl = E 5tande fr = E 5n dig。 Svara helst s = E5 snart det g = E5r。変形例4：タイトル：Suspekta semaforer メッセージ本文： Hejsan！私はあなたのCDを聞いています= F6ll bl.a denna = sk = E4rmsl = E4ckare。 En = E4 rares = E5kade kaet = F6ga p = E5 den = avf = E4rdade dess inneh = E5llはrsistiskプロパガンダを雇う。 S j = E 4lv tycker = jag inte att det = E4r n = E5got att orda om。ヴォア・タクサムf = F6rダンプ・アップ。タックp = E5f = F6rhand。変形例5：タイトル：= iso-8859-1？Q？Avskyv = E4rd_reklam？= メッセージ本文：ヘイ！ min minder = E5rige son fick denna sk = E4rmsl = E4ckare p = E5 en CD skiva via = エタマチュキックキックレクラム。 Jag uppr = F6rs = F6ver det s = E4tt p = E5 vilket = rasistiska och nazistiska propagandisterまで= E 5ts f = F 6rmedla sin = avskyv = E4rdaイデオロギル納屋。 Jag = F6verv = E4ger nu att polisanm = E4la detta tilltag s = E5 = snart du、私は例えばjuridisk fackman、delgett mig din = E5siktです。タック= p = E5 f = F6rhand。変形例6：タイトル：= iso-8859-1？Q？= D6verviktiga_f = F6rnedras？= メッセージ本文： Hejsan！ Jag = F6verv = E4ger att polisanm = E4la denna sk = E4rmsl = E4ckare。ジャグアンサー= att den har en nedl = E5tande attentd gentemot = F6verviktiga personer。 Jag = E5は撮影されています。タックp = E5f = F6rhand。バリアント7：タイトル：Go ack ack ack .... メッセージ本文： Hej igen！ Denh = E4r sk = E4rmsl = E4ckear verkar vara en amerikansk parodi p = E5 = n = E5got som svenskarna g = F6r p = E5 midsommar。 Skratta inte ihj = E4l dig = バラ。 :-) 変形例8：タイトル：= iso-8859-1？Q？= C4r_USA_ett_UFO = 3F？= メッセージ本文： Hej igen！ H = E4r = E4r sk = E4rmsl = E4cker 4. Kolla in de tala sedan om = f = F6r mig att George W Bush INTE = E4r en rymdvarelse。 ;-) 変形例9：タイトル：コーカッド社長。メッセージ本文： Hej igen！ H = E4r = E4r sk = E4rmsl = E4ckaren som jag snackade om。ジョージWブッシュverkar = すべての=すべての= F6r明るい男のスカ、トロフィー、 ' :-) 変形例10：タイトル：Katt、hund、kanin。メッセージ本文： Hej igen！ Om du gillar djur s = E5m = E5ste denna sk = E4rmsl = E4ckarevara n = E5'tf = F6r = 掘る。 Mjau、Voff、Arf Arf .... ;-) 英語メッセージの変形：変形例1：タイトル：スクリーンセーバーのアドバイス。メッセージ本文：あなたはこのスクリーンセーバーが違法と考えられると思いますか？〜= あなたやあなたの友人の誰かがそれをチェックして= すぐに答える人間的に可能です。ありがとう！変形例2：タイトル：スパイ写真。メッセージ本文：ここに私が言ったスクリーンセーバーがあります。それは= そのうちの1つの間に米国のスパイ衛星の1つはイラクの任務です。 If = あなたは、あなたが私を見つけることができる場所を知っているこれらの写真の多くをしたい。さようなら！変形例3：タイトル：GO USA !!!! メッセージ本文：このスクリーンセーバーは、スタースパングルバナーをアニメーション化します。 = テロとの戦いに対する米国の政権。どうもありがとう！変形例4：タイトル：GW Bushアニメーション。メッセージ本文： FBIが停止したいアニメーションは次のとおりです。連中のように見える= 人々の権利を終わらせようとしているのは、彼らがアメリカ= 投与。楽しむ！変形例5：タイトル：アメリカはUFOですか？メッセージ本文：このスクリーンセーバーを見て、それからGeorge.W Bushが= エイリアンではありません。 ;-) 変形例6：タイトル：アメリカはいつもナンバーワンですか？メッセージ本文：いくつかの間違った人たちは、アメリカの人生は、他の国籍の人よりも大きな価値があります。ちょっと見てみましょう= この哀れなスクリーンセーバー、そしてあなたは私が何を言っているのか知っているでしょう。 = ではごきげんよう。バリアント7：タイトル：LINUX。メッセージ本文：あなたは、Linux環境について興味があるWindowsユーザーですか？これは= スクリーンセーバーは、KDEとGNOMEデスクトップのプレビューを提供します。何が= さらに、Linuxは誰でもダウンロードできる無料のシステムです。変形例8：タイトル：ナチスの宣伝？メッセージ本文：このスクリーンセーバーはドイツで禁止されています。これには、ナチス文化に関連するアニメーションシンボル。あなたは何ですか？それは正当な禁止かどうか？早く答えてください。ありがとう！変形例9：タイトル：Catlover メッセージ本文：あなたが猫が好きなら、このスクリーンセーバーが大好きです。それは4つのアニメーション= 子猫は画面上を走っている。より多くのクリップアートのために私に連絡してください。ありがとう= 楽しい！ ;-) 変形例10：タイトル：嫌な宣伝。メッセージ本文：こんにちは！私の12歳のdoughterは、このスクリーンセーバーをCDROMで入手しました= 広告を通して彼女に送られました。私はそれが子供たち= ナチス組織の標的になっている。私は聞いていただければ幸いです= できるだけ早くこの問題についてあなたからありがとうございました。添付ファイルの名前は、次の名前のシステムに従います。 xx.scr（ 'XX'は 'a'から 'z'までの2つのランダムな文字です）ワームは、ユーザーが感染した添付ファイルをクリックした場合にのみアクティブになります。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。インストールこのワームをインストールすると、 SCANDISK.exeという名前でWindowsディレクトリに自身をコピーし、このファイルをシステムレジストリの自動実行キーに登録します。 HKLMSoftwareMicrosoftWindowsCurrentVersionRun スキャンディスク= SCANDISK.exe ワームはまた、「a」から「z」+「.exe」までの8文字の長さの文字列）をWindowsディレクトリにコピーします。広がるワームは、感染したメッセージを送信するために、SMTPサーバーを使用します。 WABデータベースをスキャンし、 *" .eml"、 "。 htm "、 " .dbx"というマスクでファイルを検索し、これらのファイル内の電子メールアドレスをスキャンします。ワームは、そのコンポーネントを次の実行可能ファイルの種類に挿入します。Win32 PE EXE ワームはローカルディスク内のすべての.EXEファイルと.SCRファイルを検索し、特別なコマンドを探します。このようなコマンドが見つかった場合は、そのコンポーネントをPEファイルの最後のセクションに挿入します。ワームは、JMPコマンドをPEファイルの中に挿入します。挿入されたコンポーネントは、Windowsディレクトリからメインワーム本体を実行します。コンポーネントコードには、次の文字列が含まれています。 KERNEL32.DLL CreateProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA CreateProcessA hvjxlzna.EXE Gandaのワームは、アンチウイルスプログラムから防御しています。ワームは、次のテキスト文字列を含むコードでアクティブなプロセスを終了します。ウイルスファイアーウォール f-secure シマンテック mcafee PC-CLLIN トレンドマイクロカスペルスキーソソスノーノン Gandaは、システムレジストリツリーからファイル内をスキャンします。 HKLMSystemCurrentControlSetServicesVxD アンチウイルス文字列を含むファイルのエントリを削除します。ワームはまた、レジストリキーが指すファイル内をスキャンします。 HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices Gandaワームは、アンチウイルス文字列を持つファイルのエントリポイントにRETコマンドを挿入します。ペイロードワームは、マシンに感染するたびに電子メールメッセージを送信します。メッセージには次のような特徴があります。から： skrattahaha@hotmail.com に： red@fna.se debatt@svt.se susanne.sjostedt@tidningen.to skolverket@skolverket.se mary.martensson@aftonbladet.se katarina.sternudd@aftonbladet.se cecilia.gustavsson@aftonbladet.se jessica.ritzen@aftonbladet.se margareta.cronquist@tidningen.to annika.sohlander@aftonbladet.se kerstin.danielson@aftonbladet.se insandare@tidningen.to insandare@aftonbladet.se メッセージのタイトルまたは件名は次のとおりです。 DISKRIMINERAD !!!!** メッセージ本文には、スウェーデン語で書かれたテキストが含まれています。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Email-Worm.Win32.Ganda

技術的な詳細