本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。 Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。
ソリューション:
個人向け製品
小規模企業
中規模企業
大企業
脆弱性 脅威
ホームページ 脅威 Email-Worm Win32

Email-Worm.Win32.Ganda

クラス
Email-Worm
プラットフォーム
Win32

親クラス: VirWare

ウイルスおよびワームは、コンピュータ上またはコンピュータネットワーク上で自己複製する悪意のあるプログラムであり、ユーザーは認識しません。そのような悪意のあるプログラムの後続のコピーも自己複製することができます。 「所有者」(例:Backdoors)または自己複製が不可能な複数のコピーを作成するプログラムによって、ネットワーク経由で感染したり、リモートマシンに感染したりする悪質なプログラムは、ウイルスおよびワームのサブクラスには含まれません。プログラムがViruses and Wormsサブクラス内の別個の動作として分類されるかどうかを判断するために使用される主要な特性は、プログラムがどのように伝搬するか(すなわち、悪意のあるプログラムがローカルまたはネットワークリソースを介してどのように自身のコピーを広げるか)電子メール添付ファイルとして送信されたファイルとして、WebまたはFTPリソースへのリンク経由で、ICQまたはIRCメッセージで送信されたリンク経由で、P2Pファイル共有ネットワークなどを介して送信されます。これらは直接コンピュータのメモリに侵入し、ワームコードが有効になります。ワームは、リモートコンピュータに侵入して自身のコピーを開始するために、ソーシャルエンジニアリング(例えば、ユーザーが添付ファイルを開くことを示唆する電子メールメッセージ)、ネットワーク構成エラー(完全にアクセス可能なディスクへのコピーなど)を利用し、オペレーティングシステムとアプリケーションのセキュリティの抜け穴ウイルスは、コンピュータを感染させる方法に従って分割することができます。ファイルウイルス - ブートセクタウイルス - マクロウイルススクリプトウイルス - このサブクラス内のプログラムは、追加のトロイの木馬機能を持つことができます。また、ネットワークを介してコピーを広めるために、多くのワームが複数の方法を使用していることにも注意してください。これらのタイプのワームを分類するには、検出されたオブジェクトを複数の機能で分類するためのルールを使用する必要があります。

クラス: Email-Worm

Email-Wormsは電子メールで広がります。ワームは、電子メールメッセージへの添付ファイル、またはネットワークリソース上のファイルへのリンク(例えば、侵害されたWebサイトやハッカー所有のWebサイト上の感染ファイルへのURL)として自身のコピーを送信します。最初のケースでは、感染した添付ファイルが開かれた(起動された)ときにワームコードがアクティブになります。 2番目のケースでは、感染ファイルへのリンクが開かれたときにコードが有効になります。どちらの場合も、結果は同じです:ワームコードが有効になっています。 Email-Wormは、感染した電子メールを送信するためにさまざまな方法を使用します。最も一般的なのは、Windows MAPI機能を使用するMS Outlookサービスを使用してワームのコードに組み込まれた電子メールディレクトリを使用してSMTPサーバーに直接接続することです。 Email-Wormsは、感染した電子メールが送信される電子メールアドレスを見つけるためにいくつかの異なるソースを使用しています:MS Outlookのアドレス帳ハードドライブに格納されたWABアドレスデータベース.txtファイル:ワームはテキストファイルのどの文字列メールボックスは、受信ボックス内の電子メールアドレスを扱います(一部の電子メールワームは、受信ボックスにある電子メールにも「返信」します)。多くのEメールワームは、上記のソースのうちの複数を使用します。 Webベースの電子メールサービスに関連付けられたアドレス帳など、電子メールアドレスの他のソースもあります。

プラットフォーム: Win32

Win32は、32ビットアプリケーションの実行をサポートするWindows NTベースのオペレーティングシステム(Windows XP、Windows 7など)上のAPIです。世界で最も広く普及しているプログラミングプラットフォームの1つです。

説明

技術的な詳細

Gandaは、電子メールの添付ファイルとしてインターネットを介して広がるワームのウイルスです。実行可能なWin32 PE EXEファイルにそのコンポーネントを挿入し、ウイルス対策プログラムから自身を保護します。

ワーム自体は、サイズが45056バイトのWindows PE EXEファイルです。アセンブラプログラミング言語で記述され、次の暗号化された文字列を含みます。 

 [WORM.SWEDENSUX] Hobern、スウェーデン、03.03にロジャー叔父がコード化した。 私はスウェーデンの学校制度によって差別されています。これは応答です 長年にわたる差別の8年間。 私は世界各地の動物園芸家を支援しています。

ワームのメッセージにはテキスト文字列が含まれています(セカンダリ文字列は電子メールプログラムで無視されることがあります)。 

  - パート1 コンテンツタイプ:multipart / alternative;境界= "part2"  - パート2 コンテンツタイプ:text / plain; charset = "iso-8859-1" コンテンツ転送エンコーディング:quoted-printable ミズリ!  - パート2 コンテンツタイプ:text / html; charset = "iso-8859-1" コンテンツ転送エンコーディング:quoted-printable   マッサージボディー   - パート2 -   - パート1 コンテンツタイプ:アプリケーション/オクテットストリーム コンテンツ転送エンコーディング:base64 内容 - 処分:添付; filename = "xx.scr"

タイトルとメッセージ本文は、英語とスウェーデン語の次の亜種から選択されます。選択する言語は、コンピュータの言語設定によって異なります。

スウェーデンのメッセージの亜種:

変形例1: 

 タイトル:= iso-8859-1?Q?Olaglig_sk = E4rmsl = E4ckare = 3F?= メッセージ本文: ヘイ! Min son visade mig denna sk = E4rmsl = E4ckare som Jag misst = E4nker kan = ブライタ・モン・ラゲン、モーツ・フォーク・グループ。 Eftersom du = E4r verksam som = jurist、s = E5痛みジャグtamsam f = F6r en fackmans syn p = E5 saken。タック= p = E5 f = F6rhand。

変形例2: 

 タイトル:Rashets elleller? メッセージ本文: Hejsan! Min datal = E 4 rare gjorde mig uppm = E 4rksam p = E 5 att denna = sk = E4rmsl = E4ckarem = F6jligen kan t = E4nkas vara ett verk av rasister。 Nu = E4 = E4 = E4 = E4 = E4 = E5 = E5 = min skoldator。 B = F6rジャグアートforts = E4tta att anv = E4nda den?スヴァラ・ヘルスト= 鼻くそ タックp = E5f = F6rhand。

変形例3: 

 タイトル:Hakkors。 メッセージ本文: ヘイ! Min klassf = F6rest = E5ndare gick i taket n = E4r hon fick se = sk = E4rmsl = E4ckaren som jag har anv = tv = E5ターミネータの下のE4nt。 Hon = anklagade mig f = F6r反エスキモー島のibland visa hakkors。 = ' タイカー・デュ・アット・ジャグb = F6rアクセテラ・デッタ・フタ= E5nヘイン?ボア・タクサムf = F6r = ett utl = E 5tande fr = E 5n dig。 Svara helst s = E5 snart det g = E5r。

変形例4: 

 タイトル:Suspekta semaforer メッセージ本文: Hejsan! 私はあなたのCDを聞いています= F6ll bl.a denna = sk = E4rmsl = E4ckare。 En = E4 rares = E5kade kaet = F6ga p = E5 den = avf = E4rdade dess inneh = E5llはrsistiskプロパガンダを雇う。 S j = E 4lv tycker = jag inte att det = E4r n = E5got att orda om。ヴォア・タクサムf = F6rダンプ・アップ。タックp = E5f = F6rhand。

変形例5: 

 タイトル:= iso-8859-1?Q?Avskyv = E4rd_reklam?= メッセージ本文: ヘイ! min minder = E5rige son fick denna sk = E4rmsl = E4ckare p = E5 en CD skiva via = エタマチュキックキックレクラム。 Jag uppr = F6rs = F6ver det s = E4tt p = E5 vilket = rasistiska och nazistiska propagandisterまで= E 5ts f = F 6rmedla sin = avskyv = E4rdaイデオロギル納屋。 Jag = F6verv = E4ger nu att polisanm = E4la detta tilltag s = E5 = snart du、私は例えばjuridisk fackman、delgett mig din = E5siktです。タック= p = E5 f = F6rhand。

変形例6: 

 タイトル:= iso-8859-1?Q?= D6verviktiga_f = F6rnedras?= メッセージ本文: Hejsan! Jag = F6verv = E4ger att polisanm = E4la denna sk = E4rmsl = E4ckare。ジャグアンサー= att den har en nedl = E5tande attentd gentemot = F6verviktiga personer。 Jag = E5は撮影されています。 タックp = E5f = F6rhand。

バリアント7: 

 タイトル:Go ack ack ack .... メッセージ本文: Hej igen! Denh = E4r sk = E4rmsl = E4ckear verkar vara en amerikansk parodi p = E5 = n = E5got som svenskarna g = F6r p = E5 midsommar。 Skratta inte ihj = E4l dig = バラ。 :-)

変形例8: 

 タイトル:= iso-8859-1?Q?= C4r_USA_ett_UFO = 3F?= メッセージ本文: Hej igen! H = E4r = E4r sk = E4rmsl = E4cker 4. Kolla in de tala sedan om = f = F6r mig att George W Bush INTE = E4r en rymdvarelse。 ;-)

変形例9: 

 タイトル:コーカッド社長。 メッセージ本文: Hej igen! H = E4r = E4r sk = E4rmsl = E4ckaren som jag snackade om。ジョージWブッシュverkar = すべての=すべての= F6r明るい男のスカ、トロフィー、 '  :-)

変形例10: 

 タイトル:Katt、hund、kanin。 メッセージ本文: Hej igen! Om du gillar djur s = E5m = E5ste denna sk = E4rmsl = E4ckarevara n = E5'tf = F6r = 掘る。 Mjau、Voff、Arf Arf .... ;-)

英語メッセージの変形:

変形例1: 

 タイトル:スクリーンセーバーのアドバイス。 メッセージ本文: あなたはこのスクリーンセーバーが違法と考えられると思いますか? 〜= あなたやあなたの友人の誰かがそれをチェックして= すぐに答える 人間的に可能です。ありがとう!

変形例2: 

 タイトル:スパイ写真。 メッセージ本文: ここに私が言ったスクリーンセーバーがあります。それは= そのうちの1つの間に米国のスパイ衛星の1つはイラクの任務です。 If = あなたは、あなたが私を見つけることができる場所を知っているこれらの写真の多くをしたい。さようなら!

変形例3: 

 タイトル:GO USA !!!! メッセージ本文: このスクリーンセーバーは、スタースパングルバナーをアニメーション化します。 = テロとの戦いに対する米国の政権。どうもありがとう!

変形例4: 

 タイトル:GW Bushアニメーション。 メッセージ本文: FBIが停止したいアニメーションは次のとおりです。連中のように見える= 人々の権利を終わらせようとしているのは、彼らがアメリカ= 投与。楽しむ!

変形例5: 

 タイトル:アメリカはUFOですか? メッセージ本文: このスクリーンセーバーを見て、それからGeorge.W Bushが= エイリアンではありません。 ;-)

変形例6: 

 タイトル:アメリカはいつもナンバーワンですか? メッセージ本文: いくつかの間違った人たちは、アメリカの人生は、 他の国籍の人よりも大きな価値があります。ちょっと見てみましょう= この哀れなスクリーンセーバー、そしてあなたは私が何を言っているのか知っているでしょう。 = ではごきげんよう。

バリアント7: 

 タイトル:LINUX。 メッセージ本文: あなたは、Linux環境について興味があるWindowsユーザーですか?これは= スクリーンセーバーは、KDEとGNOMEデスクトップのプレビューを提供します。何が= さらに、Linuxは誰でもダウンロードできる無料のシステムです。

変形例8: 

 タイトル:ナチスの宣伝? メッセージ本文: このスクリーンセーバーはドイツで禁止されています。これには、 ナチス文化に関連するアニメーションシンボル。あなたは何ですか? それは正当な禁止かどうか?早く答えてください。ありがとう!

変形例9: 

 タイトル:Catlover メッセージ本文: あなたが猫が好きなら、このスクリーンセーバーが大好きです。それは4つのアニメーション= 子猫は画面上を走っている。より多くのクリップアートのために私に連絡してください。ありがとう= 楽しい! ;-)

変形例10: 

 タイトル:嫌な宣伝。 メッセージ本文: こんにちは!私の12歳のdoughterは、このスクリーンセーバーをCDROMで入手しました= 広告を通して彼女に送られました。私はそれが子供たち= ナチス組織の標的になっている。私は聞いていただければ幸いです= できるだけ早くこの問題についてあなたからありがとうございました。

添付ファイルの名前は、次の名前のシステムに従います。

xx.scr( 'XX'は 'a'から 'z'までの2つのランダムな文字です)

ワームは、ユーザーが感染した添付ファイルをクリックした場合にのみアクティブになります。その後、ワームは自身をシステムにインストールし、拡散ルーチンとペイロードを実行します。

インストール
このワームをインストールすると、 SCANDISK.exeという名前でWindowsディレクトリに自身をコピーし、このファイルをシステムレジストリの自動実行キーに登録します。 

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun スキャンディスク=  SCANDISK.exe

ワームはまた、「a」から「z」+「.exe」までの8文字の長さの文字列)をWindowsディレクトリにコピーします。

広がる
ワームは、感染したメッセージを送信するために、SMTPサーバーを使用します。 WABデータベースをスキャンし、 "* .eml"、 "*。* htm *"、 "* .dbx"というマスクでファイルを検索しこれらのファイル内の電子メールアドレスをスキャンします。

ワームは、そのコンポーネントを次の実行可能ファイルの種類に挿入します。Win32 PE EXE

ワームはローカルディスク内のすべての.EXEファイルと.SCRファイルを検索し、特別なコマンドを探します。このようなコマンドが見つかった場合は、そのコンポーネントをPEファイルの最後のセクションに挿入します。ワームは、JMPコマンドをPEファイルの中に挿入します。挿入されたコンポーネントは、Windowsディレクトリからメインワーム本体を実行します。コンポーネントコードには、次の文字列が含まれています。 

 KERNEL32.DLL  CreateProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA  CreateProcessA  hvjxlzna.EXE

Gandaのワームは、アンチウイルスプログラムから防御しています。ワームは、次のテキスト文字列を含むコードでアクティブなプロセスを終了します。 

 ウイルス  ファイアーウォール  f-secure  シマンテック  mcafee  PC-CLLIN  トレンドマイクロ  カスペルスキー  ソソス  ノーノン

Gandaは、システムレジストリツリーからファイル内をスキャンします。 

 HKLMSystemCurrentControlSetServicesVxD

アンチウイルス文字列を含むファイルのエントリを削除します。ワームはまた、レジストリキーが指すファイル内をスキャンします。 

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun      HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Gandaワームは、アンチウイルス文字列を持つファイルのエントリポイントにRETコマンドを挿入します。

ペイロード
ワームは、マシンに感染するたびに電子メールメッセージを送信します。メッセージには次のような特徴があります。 

から: skrattahaha@hotmail.comに: red@fna.se debatt@svt.se susanne.sjostedt@tidningen.to skolverket@skolverket.se mary.martensson@aftonbladet.se katarina.sternudd@aftonbladet.se cecilia.gustavsson@aftonbladet.se jessica.ritzen@aftonbladet.se margareta.cronquist@tidningen.to annika.sohlander@aftonbladet.se kerstin.danielson@aftonbladet.se insandare@tidningen.to insandare@aftonbladet.se

メッセージのタイトルまたは件名は次のとおりです。 

 DISKRIMINERAD !!!!

メッセージ本文には、スウェーデン語で書かれたテキストが含まれています。

も参照してください

お住まいの地域に広がる脆弱性の統計をご覧ください statistics.securelist.com

この脆弱性についての記述に不正確な点がありますか? お知らせください!
Kaspersky IT Security Calculator
も参照してください
新しいカスペルスキー
あなたのデジタルライフを守る
も参照してください
Related articles
29 April 2025
Securelist
Outlaw cybergang attacking targets worldwide
25 April 2025
Securelist
Triada strikes back
24 April 2025
Securelist
Operation SyncHole: Lazarus APT goes back to the well
22 April 2025
Securelist
Russian organizations targeted by backdoor masquerading as secure networking software updates
21 April 2025
Securelist
Lumma Stealer – Tracking distribution channels
21 April 2025
Securelist
Phishing attacks leveraging HTML code inside SVG files
この脆弱性についての記述に不正確な点がありますか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
新しい脅威または脆弱性が見つかりましたか?
新しい脅威または脆弱性が見つかった場合はメールでご連絡ください:
newvirus@kaspersky.com
ソリューション
個人向け製品
小規模企業
中規模企業
大企業
Select language
Sorting
脅威
Confirm changes?
Your message has been sent successfully.