Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Email-Worm
Email-Worms esparcidos por correo electrónico. El gusano envía una copia de sí mismo como un archivo adjunto a un mensaje de correo electrónico o un enlace a su archivo en un recurso de red (por ejemplo, una URL a un archivo infectado en un sitio web comprometido o un sitio web propiedad de hackers). En el primer caso, el código del gusano se activa cuando se abre (inicia) el archivo adjunto infectado. En el segundo caso, el código se activa cuando se abre el enlace al archivo infectado. En ambos casos, el resultado es el mismo: el código del gusano está activado. Email-Worms utiliza una variedad de métodos para enviar correos electrónicos infectados. Los más comunes son: el uso de una conexión directa a un servidor SMTP utilizando el directorio de correo electrónico integrado en el código del gusano utilizando los servicios de MS Outlook utilizando las funciones de Windows MAPI. Email-Worms utiliza varias fuentes diferentes para encontrar las direcciones de correo electrónico a las que se enviarán los correos electrónicos infectados: la libreta de direcciones en MS Outlook una base de datos WAB. Archivos .txt almacenados en el disco duro: el gusano puede identificar qué cadenas en los archivos de texto son direcciones de correo electrónico correos electrónicos en la bandeja de entrada (algunos Email-Worms incluso "responden" a los correos electrónicos que se encuentran en la bandeja de entrada) Muchos Email-Worms usan más de una de las fuentes mencionadas anteriormente. También hay otras fuentes de direcciones de correo electrónico, como libretas de direcciones asociadas con servicios de correo electrónico basados en la web.Más información
Plataforma: Win32
Win32 es una API en sistemas operativos basados en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.Descripción
Detalles técnicos
Ganda es un virus de gusano que se propaga a través de Internet como un archivo adjunto de correo electrónico. Inserta su componente en archivos ejecutables Win32 PE EXE y se protege contra los programas antivirus.El gusano en sí es un archivo EXE de Windows PE que tiene un tamaño de 45056 bytes. Está escrito en el lenguaje de programación Assembler y contiene las siguientes cadenas encriptadas:
[WORM.SWEDENSUX] Codificado por el tío Roger en Hørens, Suecia, 03.03. Estoy siendo discriminado por el sistema escolar sueco. Esta es una respuesta a ocho largos años de discriminación. Apoyo a los libertadores de animales en todo el mundo.
Los mensajes con el gusano contienen las cadenas de texto (las cadenas secundarias pueden ser ignoradas por los programas de correo electrónico):
--parte 1 Tipo de contenido: multipart / alternative; boundary = "part2" --parte 2 Tipo de contenido: text / plain; charset = "iso-8859-1" Content-Transfer-Encoding: cotizado-imprimible Myzli! --parte 2 Tipo de contenido: text / html; charset = "iso-8859-1" Content-Transfer-Encoding: cotizado-imprimible Cuerpo de masaje --parte 2-- --parte 1 Tipo de contenido: application / octet-stream Content-Transfer-Encoding: base64 Contenido-Disposición: archivo adjunto; filename = "xx.scr"
Un título y un cuerpo de mensaje se seleccionan entre las siguientes variantes en inglés y en sueco. El idioma elegido depende de la configuración de idioma de una computadora.
Variantes de mensaje sueco:
Variante 1:
Título: =? Iso-8859-1? Q? Olaglig_sk = E4rmsl = E4ckare = 3F? = Cuerpo del mensaje: Hej! Min hijo visade mig denna sk = E4rmsl = E4ckare som jag misst = E4nker kan = bryta mot lagen om hets mot folkgrupp. Eftersom du = E4r verksam som = jurista, s = E5 vore jag tacksam f = F6r en fackmans syn p = E5 saken. Tack = p = E5 f = F6rhand.
Variante 2:
Título: Rashets eller inte? Cuerpo del mensaje: Hejsan! Min datal = E4rare gjorde mig uppm = E4rksam p = E5 att denna = sk = E4rmsl = E4ckare m = F6jligen kan t = E4nkas vara ett verk av rasister. Nu = vet jag varken ut eller in, eftersom jag hade t = E4nkt anv = E4nda den p = E5 = min skoldator. B = F6r jag att fuertes = E4tta att anv = E4nda den? Svara helst = Snarast. Tack p = E5 f = F6rhand.
Variante 3:
Título: Hakkors. Cuerpo del mensaje: Hej! Min klassf = F6rest = E5ndare gick i taket n = E4r hon fick se = sk = E4rmsl = E4ckaren som jag har anv = E4nt bajo tv = E5 terminer. Hon = anklagade mig f = F6r antisemitismo eftersom den ibland visar ett hakkors. = ' Tycker du att jag b = F6r acceptera detta fr = E5n henne? Vore tacksam f = F6r = ett utl = E5tande fr = E5n dig. Svara helst s = E5 snart det g = E5r.
Variante 4:
Título: Suspekta semaforer. Cuerpo del mensaje: Hejsan! I skolan hittade jag en CD skiva som inneh = F6ll bl.a denna = sk = E4rmsl = E4ckare. En l = E4rare som r = E5kade kasta ett = F6ga p = E5 den = avf = E4rdade dess inneh = E5ll som ren rasistisk propaganda. Sj = E4lv tycker = jag inte att det = E4r n = E5got att orda om. Vore tacksam f = F6r din uppfattning. Tack p = E5 f = F6rhand.
Variante 5:
Título: =? Iso-8859-1? Q? Avskyv = E4rd_reklam.? = Cuerpo del mensaje: Hej! Min minder = E5rige son fick denna sk = E4rmsl = E4ckare p = E5 es CD skiva via = ett massutskick av reklam. Jag uppr = F6rs = F6ver det s = E4tt p = E5 vilket = rasistiska och nazistiska propagandister till = E5ts f = F6rmedla sin = avskyv = E4rda ideologitill granero. Jag = F6verv = E4ger nu att polisanm = E4la detta tilltag s = E5 = snart du, i egenskap av juridisk fackman, delgett mig din = E5sikt. Tack = p = E5 f = F6rhand.
Variante 6:
Título: =? Iso-8859-1? Q? = D6verviktiga_f = F6rnedras.? = Cuerpo del mensaje: Hejsan! Jag = F6verv = E4ger att polisanm = E4la denna sk = E4rmsl = E4ckare. Jag anser = att den har en nedl = E5tande attityd gentemot = F6verviktiga personer. Jag = skulle bli ytterst tacksam om du kunde bidra med din syn p = E5 saken. Tack p = E5 f = F6rhand.
Variante 7:
Título: Ve ack ack ack .... Cuerpo del mensaje: Hej igen! Den h = E4r sk = E4rmsl = E4ckaren verkar vara en amerikansk parodi p = E5 = n = E5got som svenskarna g = F6r p = E5 midsommar. Skratta inte ihj = E4l dig = bara. :-)
Variante 8:
Título: =? Iso-8859-1? Q? = C4r_USA_ett_UFO = 3F? = Cuerpo del mensaje: Hej igen! H = E4r = E4r sk = E4rmsl = E4ckare nummer 4. Kolla in den och tala sedan om = f = F6r mig att George W Bush INTE = E4r en rymdvarelse. ;-)
Variante 9:
Título: Presidente de Korkad. Cuerpo del mensaje: Hej igen! H = E4r = E4r sk = E4rmsl = E4ckaren som jag snackade om. George W Bush verkar = inte vara allf = F6r brillante om hombre ska tro brittiska komiker. ':-)
Variante 10:
Título: Katt, hund, kanin. Cuerpo del mensaje: Hej igen! Om du gillar djur s = E5 m = E5ste denna sk = E4rmsl = E4ckare vara n = E5'tf = F6r = cavar. Mjau, Voff, Arf Arf .... ;-)
Variantes de mensaje en inglés:
Variante 1:
Título: Asesoramiento de protector de pantalla. Cuerpo del mensaje: ¿Crees que este protector de pantalla podría considerarse ilegal? Would = agradece si tú o alguno de tus amigos podría comprobarlo y = responde tan pronto como humanamente posible. Gracias!
Variante 2:
Título: Spy pics. Cuerpo del mensaje: Aquí está el salvapantallas del que te hablé. Contiene imágenes tomadas por = uno de los satélites espías de EE. UU. durante una de sus misiones en Irak. If = quieres más de estas fotos, sabes dónde puedes encontrarme. ¡Adiós!
Variante 3:
Título: GO USA !!!! Cuerpo del mensaje: Este salvapantallas anima el banner estrellado. Por favor apoye el = La administración de los Estados Unidos en su lucha contra el terror. ¡Muchas gracias!
Variante 4:
Título: animación de GW Bush. Cuerpo del mensaje: Aquí está la animación que el FBI quiere detener. Parece que los federales son = tratando de poner fin al derecho de los pueblos a decir lo que piensan de los EE. UU. = administración. ¡Que te diviertas!
Variante 5:
Título: ¿Estados Unidos es un OVNI? Cuerpo del mensaje: Eche un vistazo a este salvapantallas, y luego dígame que George W. Bush es = no es un extraterrestre ;-)
Variante 6:
Título: ¿Estados Unidos siempre es el número uno? Cuerpo del mensaje: Algunas personas equivocadas en realidad creen que una vida estadounidense tiene a = mayor valor que los de otras nacionalidades. Solo eche un vistazo a = este patético protector de pantalla y entonces sabrá de lo que estoy hablando. = Todo lo mejor.
Variante 7:
Título: LINUX. Cuerpo del mensaje: ¿Eres un usuario de Windows que siente curiosidad por el entorno de Linux? This = Screensaver le ofrece una vista previa de los escritorios de KDE y GNOME. Qué es = más, LINUX es un sistema gratuito, lo que significa que cualquiera puede descargarlo.
Variante 8:
Título: ¿Propaganda nazi? Cuerpo del mensaje: Este protector de pantalla ha sido prohibido en Alemania. Contiene un número de = símbolos animados que pueden relacionarse con la cultura nazi. ¿Qué quieres = piensa, ¿es una prohibición legítima o no? Por favor responde lo antes posible. Gracias!
Variante 9:
Título: Catlover. Cuerpo del mensaje: Si te gustan los gatos, te encantará este protector de pantalla. Son cuatro animados = gatitos corriendo por la pantalla. Contáctame para obtener más imágenes prediseñadas. Have = ¡divertido! ;-)
Variante 10:
Título: propaganda repugnante. Cuerpo del mensaje: ¡Hola! Mi hija de 12 años recibió este salvapantallas en un CDROM que = fue enviado a ella a través de publicidad. Me parece inquietante que los niños = ahora son objetivos de las organizaciones nazis. Agradecería escuchar = de usted en este asunto, tan pronto como sea posible. Gracias.
El nombre del archivo adjunto sigue un sistema donde el nombre es:
xx.scr (donde 'XX' es dos letras aleatorias que van desde 'a' a 'z')
El gusano se activa solo si un usuario hace clic en el archivo adjunto infectado. El gusano se instala en el sistema y ejecuta su rutina de propagación y carga útil.
Instalación
Durante la instalación, el gusano se copia en el directorio de Windows con el nombre SCANDISK.exe y registra este archivo en la clave de ejecución automática del registro del sistema.
HKLMSoftwareMicrosoftWindowsCurrentVersionRun ScanDisk =SCANDISK.exe
El gusano también se copia a sí mismo bajo un nombre aleatorio (8 caracteres de largo con letras que van desde "a" a "z" + ".exe") en el directorio de Windows.
Extensión
Para enviar mensajes infectados, el gusano usa el servidor SMTP. Escanea la base de datos WAB y busca los archivos por máscara: "* .eml", "*. * Htm *", "* .dbx" y escanea en busca de direcciones de correo electrónico dentro de estos archivos.
El gusano inserta su componente en los siguientes tipos de archivos ejecutables: Win32 PE EXE
El gusano busca en el disco local todos los archivos .EXE y .SCR y busca comandos especiales. Si se encuentran dichos comandos, inserta su componente en la última sección de archivos PE. El gusano también inserta el comando JMP dentro de los archivos PE. El componente insertado ejecuta el cuerpo principal del gusano desde el directorio de Windows. El código del componente contiene las siguientes cadenas:
KERNEL32.DLL CreateProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA CreateProcessA hvjxlzna.EXE
El gusano Ganda se defiende contra los programas antivirus. El gusano finaliza los procesos activos en el código que se encuentra para contener las siguientes cadenas de texto:
virus firewall f-seguro symantec mcafee pc-cillin tendencia micro kaspersky sophos norton
Ganda escanea dentro de los archivos del árbol de registro del sistema:
HKLMSystemCurrentControlSetServicesVxD
y elimina entradas de archivos con cadenas de antivirus. El gusano también escanea dentro de los archivos apuntados por las claves de registro:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
El gusano Ganda inserta el comando RET en el punto de entrada de los archivos que tienen cadenas antivirus.
Cargas útiles
El gusano envía un mensaje de correo electrónico cada vez que infecta una máquina, el mensaje contiene las siguientes características:
De: skrattahaha@hotmail.comA: red@fna.se debatt@svt.se susanne.sjostedt@tidningen.to skolverket@skolverket.se mary.martensson@aftonbladet.se katarina.sternudd@aftonbladet.se cecilia.gustavsson@aftonbladet.se jessica.ritzen@aftonbladet.se margareta.cronquist@tidningen.to annika.sohlander@aftonbladet.se kerstin.danielson@aftonbladet.se insandare@tidningen.to insandare@aftonbladet.se
El título o asunto del mensaje es:
DISKRIMINERAD !!!!
El cuerpo del mensaje contiene texto escrito en sueco.
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com