BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Email-Worm.Win32.Ganda

Sınıf Email-Worm
Platform Win32
Açıklama

Teknik detaylar

Ganda , internet üzerinden bir e-posta eki olarak yayılan bir solucan virüsüdür. Bileşeni, yürütülebilir Win32 PE EXE dosyalarına ekler ve anti-virüs programlarına karşı kendini korur.

Solucan kendisi, boyutu 45056 bayt olan bir Windows PE EXE dosyasıdır. Assembler programlama dilinde yazılmıştır ve aşağıdaki şifreli dizeleri içerir:

 [WORM.SWEDENSUX] H�rn�sand, İsveç, 03.03 de Amca Roger tarafından kodlandı.
 İsveçli okul sistemi tarafından ayrımcılıyorum. Bu bir cevaptır
 sekiz yıl boyunca ayrımcılığa.
 Dünya çapında hayvan kurtarıcıları destekliyorum.

Solucandaki mesajlar metin dizelerini içerir (ikincil dizeler E-posta programları tarafından göz ardı edilebilir):


 --Bölüm 1
 İçerik türü: çok parçalı / alternatif; Sınır = "part2"

 --Bölüm 2
 İçerik türü: metin / düz; karakter kümesi = "ISO-8859-1"
 İçerik Aktarımı Kodlama: basılabilir çıktı

 Myzli!

 --Bölüm 2
 İçerik türü: metin / html; karakter kümesi = "ISO-8859-1"
 İçerik Aktarımı Kodlama: basılabilir çıktı

 
  Masaj vücut
 

 --Bölüm 2--

 --Bölüm 1
 İçerik türü: uygulama / sekizli akışı
 İçerik Aktarımı Kodlama: base64
 İçerik-Atma: ek; filename = "xx.scr"

Bir başlık ve bir mesaj gövdesi, İngilizce ve İsveççe aşağıdaki varyantlardan seçilir. Seçilen dil bilgisayarın dil ayarlarına bağlıdır.

İsveççe mesaj varyantları:

1. değişken:

 Başlık: =? Iso-8859-1? Q? Olaglig_sk = E4rmsl = E4ckare = 3F? =

 Mesaj gövdesi:

 Hej!

 Min oğlu visade mig denna sk = E4rmsl = E4ckare som jag yanlış = E4nker kan =
 bryta mot lagen om fil motruprupp. Eftersom du = E4r verksam som =
 jurist, s = E5 vore jag tacksam f = F6r en fackmans sözdizimi p = E5 saken. Tack =
 p = E5 f = F6rhand.

2. Varyant:

 Başlık: Rashets eller inte?

 Mesaj gövdesi:

 Hejsan!

 Min datal = E4rare gjorde mig uppm = E4rksam p = E5 att denna =
 sk = E4rmsl = E4ckare m = F6jligen kan t = E4nkas vara değil verk av rasister. Nu =
 vet jag varken ut eller, eftersom jag hade t = E4nkt anv = E4nda den p = E5 =
 min skoldator. B = F6r jag att timler = E4tta att anv = E4nda den? Svara helst =
 snarast.
 Tack p = E5 f = F6rhand.

Varyant 3:

 Başlık: Hakkors.

 Mesaj gövdesi:

 Hej!

 Min klassf = F6rest = E5ndare gick i taket n = E4r hon fick se =
 sk = E4rmsl = E4ckaren som jag har anv = TV altında E4nt = E5 termineri. Hon =
 anklagade mig f = F6r antisemitizm eftersom den ibland visar ett hakkorsors. ='
 Tycker du att jag b = F6r acceptera detta fr = E5n henne? Vore tacksam f = F6r =
 ett utl = E5tande fr = E5n kaz. Svara helst s = E5 snart det g = E5r.

Varyant 4:

 Başlık: Suspekta semaforer.

 Mesaj gövdesi:

 Hejsan!

 Ben CD çalmadım ve bir tane daha cavurdum.
 = E4rmsl = E4ckare sk. En l = E4rare som r = E5kade kasta ett = F6ga p = E5 den =
 avf = E4rdade dess inneh = E5ll ve ren rasistisk propagandası. Sj = E4lv yazıcı =
 jag inte att det = E4r n = E5got att
 orda om Vore tacksam f = F6r din uppfattning. Tack p = E5 f = F6rhand.

Varyant 5:

 Başlık: =? Iso-8859-1? Q? Avskyv = E4rd_reklam.? =

 Mesaj gövdesi:

 Hej!

 Min minder = E5rige son fick denna sk = E4rmsl = E4ckare p = E5 en CD skiva üzerinden =
 massutskick av reklam. Jag uppr = F6rs = F6ver det s = E4tt p = E5 vilket =
 rasistiska och nazistiska propagandister kadar = E5ts f = F6rmedla sin =
 avskyv = E4rda ideologitill ahırı. Jag = F6verv = E4ger nu att polisanm = E4la detta tilltag s = E5 =
 snart du, i egenskap av juridisk fackman, delgett mig din = E5sikt. Tack =
 p = E5 f = F6rhand.

Varyant 6:

 Başlık: =? Iso-8859-1? Q? = D6verviktiga_f = F6rnedras.

 Mesaj gövdesi:

 Hejsan!

 Jag = F6verv = E4ger att polisanm = E4la denna sk = E4rmsl = E4ckare. Jag anser =
 att den har en nedl = E5tande attityd gentemot = F6verviktiga kişisi. Jag =
 skulle bli ytterst tacksam om du kunde bidra med din sd p = E5 saken.
 Tack p = E5 f = F6rhand.

Varyant 7:

 Başlık: ack ack ack git ....

 Mesaj gövdesi:

 Hej igen!

 Den h = E4r sk = E4rmsl = E4ckaren verkar vara en amerikansk parodi p = E5 =
 n = E5got som svenskarna g = F6r p = E5 midsommar. Skratta inte ihj = E4l dig =
 bara. :-)

Varyant 8:

 Başlık: =? Iso-8859-1? Q? = C4r_USA_ett_UFO = 3F? =

 Mesaj gövdesi:

 Hej igen!

 H = E4r = E4r sk = E4rmsl = E4ckare sayılama 4. Kolla in den och tala sedan om =
 f = F6r mig inci George W. Bush INTE = E4r en rymdvarelse. ;-)

Varyant 9:

 Başlık: Korkad başkanı.

 Mesaj gövdesi:

 Hej igen!

 H = E4r = E4r sk = E4rmsl = E4ckaren som jag snackade om. George W. Bush verkar =
 inte vara allf = F6r parlak bir adam ska tro brittiska komik. '
  :-)

Değişken 10:

 Başlık: Katt, hund, kanin.

 Mesaj gövdesi:

 Hej igen!

 Om du gillar djur s = E5 m = E5ste denna sk = E4rmsl = E4ckare vara n = E5'tf = F6r =
 kazmak. Mjau, Voff, Arf Arf .... ;-)

İngilizce mesaj varyantları:

1. değişken:

 Başlık: Ekran koruyucu tavsiyesi.

 Mesaj gövdesi:

 Bu ekran koruyucusunun yasa dışı kabul edilebileceğini düşünüyor musunuz? Isterim
 Siz veya arkadaşlarınızdan herhangi birinin kontrol edip etmediğini takdir edin =
 en kısa sürede cevap ver
 insanca mümkün. Thanx!

2. Varyant:

 Başlık: Casus resimler.

 Mesaj gövdesi:

 İşte sana bahsettiğim ekran koruyucusu. Tarafından çekilen resimleri içerir =
 ABD casus uydularından biri de Irak’taki görevlerinden biri. Eğer =
 Bu resimlerden daha fazlasını istiyorsan beni nerede bulabileceğini biliyorsun. Hoşçakal!

Varyant 3:

 Başlık: GO ABD !!!!

 Mesaj gövdesi:

 Bu ekran koruyucu yıldız spangled afişi canlandırır. Lütfen destekleyin =
 ABD yönetimi terörle mücadelede. Çok teşekkürler!

Varyant 4:

 Başlık: GW Bush animasyonu.

 Mesaj gövdesi:

 İşte FBI'ın durdurmak istediği animasyon. Federaller gibi görünüyor =
 ABD’ye ne düşündüklerini söylemek için halklara bir son vermeye çalışmak =
 yönetim. İyi eğlenceler!

Varyant 5:

 Başlık: ABD bir UFO mu?

 Mesaj gövdesi:

 Bu ekran koruyucusuna bir göz atın ve sonra bana George W. Bush'un = olduğunu söyle
 uzaylı değil. ;-)

Varyant 6:

 Başlık: ABD her zaman bir numara mı?

 Mesaj gövdesi:

 Bazı yanlış yönlendirilmiş insanlar aslında bir Amerikan yaşamının bir =
 diğer milletlerden daha büyük değer. Sadece bir göz atın =
 Bu acıklı ekran koruyucu ve sonra ne hakkında konuştuğumu bileceksiniz. =
 Herşey gönlünce olsun.

Varyant 7:

 Başlık: LINUX.

 Mesaj gövdesi:

 Linux ortamını merak eden bir windows kullanıcısı mısınız? Bu =
 ekran koruyucu KDE ve GNOME masaüstü bir önizleme verir. Nedir =
 daha fazla, LINUX herkesin indirebileceği anlamına gelen ücretsiz bir sistemdir.

Varyant 8:

 Başlık: Nazi propagandası?

 Mesaj gövdesi:

 Bu ekran koruyucu Almanya'da yasaklandı. Bir dizi = içerir
 nazi kültürü ile ilgili olabilecek canlandırılmış semboller. Ne yapıyorsun
 düşün, meşru bir yasak mı, değil mi? Lütfen en kısa zamanda cevap verin. Thanx!

Varyant 9:

 Başlık: Catlover.

 Mesaj gövdesi:

 Kedileri seviyorsanız bu ekran koruyucuyu seveceksiniz. Dört animasyonlu =
 ekranda çalışan kedi yavruları. Daha fazla clipart için bana ulaşın. Var =
 eğlence! ;-)

Değişken 10:

 Başlık: İğrenç propaganda.

 Mesaj gövdesi:

 Merhaba! 12 yaşındaki kızım bu ekran koruyucusunu bir CDROM'da aldı =
 ona reklam yoluyla gönderildi. Rahatsız edici buluyorum çocuklar =
 Artık nazi örgütlerinin hedefleri. Duymak için minnettarım =
 Bu konuda sizden en kısa zamanda. Teşekkür ederim.

Ek dosyasının adı, adın bulunduğu bir sistemi takip eder:

xx.scr ('XX', 'a' ile 'z' arasında değişen iki rastgele harftir)

Solucan, yalnızca bir kullanıcı virüslü ekli dosyayı tıklatırsa etkinleştirir. Solucan kendini sisteme yükler ve yayılma rutinini ve yükünü çalıştırır.

yükleme
Solucanı kurarken kendisini SCANDISK.exe adı altında Windows dizinine kopyalar ve bu dosyayı sistem kayıt defteri otomatik çalıştırma anahtarına kaydeder.

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
 ScanDisk'in =  ScanDisk.exe

Solucan aynı zamanda kendini rastgele bir isimle ('a' dan 'z' + ".exe" e kadar uzanan harflerle 8 karakter uzunluğunda) Windows dizinine kopyalar.

Yayma
Virüs bulaşmış mesaj göndermek için solucan SMTP sunucusunu kullanır. WAB veritabanını tarar ve dosyaları maske ile arar: "* .eml", "*. * Htm *", "* .dbx" ve bu dosyaların içindeki e-posta adreslerini tarar.

Solucan, bileşenini aşağıdaki yürütülebilir dosya türlerine ekler: Win32 PE EXE

Solucan, tüm .EXE dosyaları ve .SCR dosyaları için yerel diski arar ve özel komutları arar. Bu tür komutlar bulunursa, bileşenini PE dosyalarının son bölümüne ekler. Solucan ayrıca PE dosyalarının içine JMP komutunu ekler. Takılan bileşen, ana solucan gövdesini windows dizininden yürütür. Bileşen kodu aşağıdaki dizeleri içerir:


 KERNEL32.DLL 
 CreateProcessA GlobalAlloc GetWindowsDirectoryA SetCurrentDirectoryA 
 CreateProcessA 
 hvjxlzna.EXE

Ganda solucanı, anti-virüs programlarına karşı kendini savunur. Solucan, aşağıdaki metin dizelerini içerdiği tespit edilen koddaki aktif işlemleri sonlandırır:


 virüs 
 güvenlik duvarı 
 f-secure 
 symantec 
 mcafee 
 pc-cillin 
 trend mikro 
 kaspersky 
 sophos 
 norton

Ganda, sistem kayıt ağacındaki dosyaların içinde tarar:

 HKLMSystemCurrentControlSetServicesVxD

ve anti-virüs dizeleri olan dosyalar için girdileri siler. Solucan ayrıca, kayıt defteri anahtarlarının işaret ettiği iç dosyaları da tarar:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun     
 HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices     

Ganda solucanı, RET komutunu anti-virüs dizeleri bulunan dosyaların Giriş Noktasına ekler.

Bu yükler
Solucan, bir makine her bulaştığında bir e-posta mesajı gönderir, mesaj aşağıdaki özellikleri içerir:

Gönderen:

 skrattahaha@hotmail.com

Kime:

 red@fna.se
 debatt@svt.se
 susanne.sjostedt@tidningen.to
 skolverket@skolverket.se
 mary.martensson@aftonbladet.se
 katarina.sternudd@aftonbladet.se
 cecilia.gustavsson@aftonbladet.se
 jessica.ritzen@aftonbladet.se
 margareta.cronquist@tidningen.to
 annika.sohlander@aftonbladet.se
 kerstin.danielson@aftonbladet.se
 insandare@tidningen.to
 insandare@aftonbladet.se

Mesaj başlığı veya konu:

 DISKRIMINERAD !!!! 

Mesaj gövdesi İsveç dilinde yazılmış metni içerir.


Orijinaline link