Уязвимости Угрозы

English Russian Japanese LatAm Türkiye Brasil France Český Deutschland

Email-Worm.Win32.Ganda

Главная Угрозы Email-Worm Email-Worm.Win32.Ganda
Класс Email-Worm
Платформа Win32
Описание

Technical Details

Вирус-червь. Распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Также внедряет свою компоненту внутрь исполняемых
Win32 PE EXE-файлов. Червь активно противодействует антивирусным программам. Червь является приложением Windows (PE EXE-файл), имеет размер 45056 байт написан на языке Assembler. Программа содержит зашифрованные строки текста:

[WORM.SWEDENSUX] Coded by Uncle Roger in Hфrn?sand, 
Sweden, 03.03.  I am being discriminated by the swedish 
schoolsystem. This is a response  to eight long years of 
discrimination.  I support animal-liberators worldwide.

Зараженные письма содержат:

Служебные строки, могут не показываться почтовыми клиентами:

 --part1
 Content-type: multipart/alternative; boundary="part2"

 --part2
 Content-type: text/plain; charset="iso-8859-1"
 Content-Transfer-Encoding: quoted-printable

 Myzli!

 --part2
 Content-type: text/html; charset="iso-8859-1"
 Content-Transfer-Encoding: quoted-printable

 
  Текст письма
 

 --part2--

 --part1
 Content-type: application/octet-stream
 Content-Transfer-Encoding: base64
 Content-Disposition: attachment; filename="xx.scr"

Заголовок и текст выбираются из списка 10 вариантов на шведском языке и 10 вариантов на английском языке в зависимости от текущего установленного языка.

Варианты на шведском языке:

Вариант 1:


Заголовок: =?iso-8859-1?Q?Olaglig_sk=E4rmsl=E4ckare=3F?=

 Текст:

 Hej!

 Min son visade mig denna sk=E4rmsl=E4ckare som jag misst=E4nker kan =
 bryta mot lagen om hets mot folkgrupp. Eftersom du =E4r verksam som =
 jurist, s=E5 vore jag tacksam f=F6r en fackmans syn p=E5 saken. Tack =
 p=E5 f=F6rhand.

Вариант 2:

 Заголовок: Rashets eller inte?

 Текст:

 Hejsan!

 Min datal=E4rare gjorde mig uppm=E4rksam p=E5 att denna =
 sk=E4rmsl=E4ckare m=F6jligen kan t=E4nkas vara ett verk av rasister. Nu =
 vet jag varken ut eller in, eftersom jag hade t=E4nkt anv=E4nda den p=E5 =
 min skoldator. B=F6r jag att forts=E4tta att anv=E4nda den? Svara helst =
 snarast.
 Tack p=E5 f=F6rhand.

Вариант 3:

 Заголовок: Hakkors.

 Текст:

 Hej!

 Min klassf=F6rest=E5ndare gick i taket n=E4r hon fick se =
 sk=E4rmsl=E4ckaren som jag har anv=E4nt under tv=E5 terminer. Hon =
 anklagade mig f=F6r antisemitism eftersom den ibland visar ett hakkors. ='
 Tycker du att jag b=F6r acceptera detta fr=E5n henne? Vore tacksam f=F6r =
 ett utl=E5tande fr=E5n dig. Svara helst s=E5 snart det g=E5r.

Вариант 4:

 Заголовок: Suspekta semaforer.

 Текст:

 Hejsan !

 I skolan hittade jag en CD skiva som inneh=F6ll bl.a denna =
 sk=E4rmsl=E4ckare. En l=E4rare som r=E5kade kasta ett =F6ga p=E5 den =
 avf=E4rdade dess inneh=E5ll som ren rasistisk propaganda. Sj=E4lv tycker =
 jag inte att det =E4r n=E5got att
 orda om. Vore tacksam f=F6r din uppfattning. Tack p=E5 f=F6rhand.

Вариант 5:

 Заголовок: =?iso-8859-1?Q?Avskyv=E4rd_reklam.?=

 Текст:

 Hej!

 Min minder=E5rige son fick denna sk=E4rmsl=E4ckare p=E5 en CD skiva via =
 ett massutskick av reklam. Jag uppr=F6rs =F6ver det s=E4tt p=E5 vilket =
 rasistiska och nazistiska propagandister till=E5ts f=F6rmedla sin =
 avskyv=E4rda ideologitill barn. Jag =F6verv=E4ger nu att polisanm=E4la detta tilltag s=E5 =
 snart du, i egenskap av juridisk fackman, delgett mig din =E5sikt. Tack =
 p=E5 f=F6rhand.

Вариант 6:

 Заголовок: =?iso-8859-1?Q?=D6verviktiga_f=F6rnedras.?=

 Текст:

 Hejsan !

 Jag =F6verv=E4ger att polisanm=E4la denna sk=E4rmsl=E4ckare. Jag anser =
 att den har en nedl=E5tande attityd gentemot =F6verviktiga personer. Jag =
 skulle bli ytterst tacksam om du kunde bidra med din syn p=E5 saken.
 Tack p=E5 f=F6rhand.

Вариант 7:

 Заголовок: Go ack ack ack....

 Текст:

 Hej igen!

 Den h=E4r sk=E4rmsl=E4ckaren verkar vara en amerikansk parodi p=E5 =
 n=E5got som svenskarna g=F6r p=E5 midsommar. Skratta inte ihj=E4l dig =
 bara. :-)

Вариант 8:

 Заголовок: =?iso-8859-1?Q?=C4r_USA_ett_UFO=3F?=

 Текст:

 Hej igen!

 H=E4r =E4r sk=E4rmsl=E4ckare nummer 4. Kolla in den och tala sedan om =
 f=F6r mig att George W Bush INTE =E4r en rymdvarelse. ;-)

Вариант 9:

 Заголовок: Korkad president.

 Текст:

 Hej igen!

 H=E4r =E4r sk=E4rmsl=E4ckaren som jag snackade om. George W Bush verkar =
 inte vara allf=F6r bright om man ska tro brittiska komiker. '
  :-)

Вариант 10:

 Заголовок: Katt, hund, kanin.

 Текст:

 Hej igen!

 Om du gillar djur s=E5 m=E5ste denna sk=E4rmsl=E4ckare vara n=E5't f=F6r =
 dig. Mjau, Voff, Arf Arf.... ;-)


Варианты на английском языке:

Вариант 1:

 Заголовок: Screensaver advice.

 Текст:

 Do you think this screensaver could be considered illegal? Would =
 appreciate if you or any one of your friends could check it out and =
 answer as soon as
 humanly possible. Thanx !

Вариант 2:

 Заголовок: Spy pics.

 Текст:

 Here's the screensaver i told you about. It contains pictures taken by =
 one of the US spy satellites during one of it's missions over iraq. If =
 you want more of these pic's you know where you can find me. Bye!

Вариант 3:

 Заголовок: GO USA !!!!

 Текст:

 This screensaver animates the star spangled banner. Please support the =
 US administration in their fight against terror. Thanx a lot!

Вариант 4:

 Заголовок: G.W Bush animation.

 Текст:

 Here's the animation that the FBI wants to stop. Seems like the feds are =
 trying to put an end to peoples right to say what they think of the US =
 administration. Have fun!

Вариант 5:

 Заголовок: Is USA a UFO?

 Текст:

 Have a look at this screensaver, and then tell me that George.W Bush is =
 not an alien. ;-)

Вариант 6:

 Заголовок: Is USA always number one?

 Текст:

 Some misguided people actually believe that an american life has a =
 greater value than those of other nationalities. Just have a look at =
 this pathetic screensaver and then you'll know what i'm talking about. =
 All the best.

Вариант 7:

 Заголовок: LINUX.

 Текст:

 Are you a windows user who is curious about the linux environment? This =
 screensaver gives you a preview of the KDE and GNOME desktops. What's =
 more, LINUX is a free system, meaning anyone can download it.

Вариант 8:

 Заголовок: Nazi propaganda?

 Текст:

 This screensaver has been banned in Germany. It contains a number of =
 animated symbols that can be related to the nazi culture. What do you =
 think, is it a legitimate ban or not? Please answer asap. Thanx!

Вариант 9:

 Заголовок: Catlover.

 Текст:

 If you like cats you'll love this screensaver. It's four animated =
 kittens running around on the screen. Contact me for more clipart. Have =
 fun! ;-)

Вариант 10:

 Заголовок: Disgusting propaganda.

 Текст:

 Hello! My 12 year old doughter received this screensaver on a CDROM that =
 was sent to her through advertising. I find it disturbing that children =
 are now being targets of nazi organizations. I would appreciate to hear =
 from you on this matter, as soon as possible. Thank you.

Имя вложения: xx.scr (где xx — любые два символа в диапазоне от ‘a’ до ‘z’).

Червь активизируется только если пользователь сам запускает зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения.


Инсталляция

При инсталляции червь копирует себя с именем SCANDISK.exe в каталог Windows и регистрирует этот файл в ключе авто-запуска системного реестра:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
 ScanDisk=SCANDISK.exe

Также червь копирует себя со случайным именем (8 символов ‘a’-‘z’ + «.exe») в каталог Windows.


Рассылка писем

При рассылке зараженных писем червь использует прямое подключение к SMTP-серверу. Червь считывает адреса из адресной базы WAB. Программа также ищет файлы «*.eml», «*.*htm*», «*.dbx», сканирует их и выделяет строки, являющиеся электронными адресами.


Внедрение компоненты в исполняемые Win32 PE EXE-файлы

Червь сканирует все .EXE и .SCR файлы на локальном диске. Если в файле есть подходящие команды (проверяются из списка), то червь внедряет в последнюю секцию PE-файлов свою компоненту. Команда передачи управления на компоненту червя встраивается в выполняемый код. Встроенная компонента выполняет запуск копии червя из Windows каталога. Встроенная компонента содержит строки текста:

 KERNEL32.DLL 
 CreateProcessA  GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA 
 CreateProcessA                  
 hvjxlzna.EXE


Противодействие антивирусным программам

Червь завершает работу процессов в коде которых обнаружены строки текста:

 virus 
 firewall 
 f-secure 
 symantec 
 mcafee 
 pc-cillin 
 trend micro 
 kaspersky 
 sophos 
 norton

Червь сканирует содержимое файлов, указанных в ветке системного реестра:

 HKLMSystemCurrentControlSetServicesVxD

Червь удаляет ссылки на файлы из системного реестра внутри которых были обнаружены строки из антивирусных пакетов.

Червь сканирует содержимое запускаемых файлов, имена которых указаны в ключах системного реестра:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun     
 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

Червь встраивает команду RET в адрес точки входа для файлов внутри которых обнаружены антивирусные строки.


Проявления

Червь каждый раз отсылает письмо с такими характиристиками:

От:

 skrattahaha@hotmail.com

Кому:

 red@fna.se
 debatt@svt.se
 susanne.sjostedt@tidningen.to
 skolverket@skolverket.se
 mary.martensson@aftonbladet.se
 katarina.sternudd@aftonbladet.se
 cecilia.gustavsson@aftonbladet.se
 jessica.ritzen@aftonbladet.se
 margareta.cronquist@tidningen.to
 annika.sohlander@aftonbladet.se
 kerstin.danielson@aftonbladet.se
 insandare@tidningen.to
 insandare@aftonbladet.se

Тема рассылаемых писем: DISKRIMINERAD !!!!

Основной текст письма на шведском языке.
Узнай статистику распространения угроз в твоем регионе
© 2023 AO Kaspersky Lab. All Rights Reserved.
Privacy Policy

Up