Ganda

GANDA, gusano de propagación masiva deshabilita antivirus y firewalls, trunca archivos ejecutables.

W32/Ganda@mm, W32/SwedenSux@mm, I-worm.ganda@mm

Ganda es un gusano reportado el 17 de Marzo del 2003, de propagación masiva a través mensajes de correo con Remitentes reales y falsos, diversos Asuntos y Contenidos en formato HTML y un archivo Anexado compuesto por 2 caracteres aleatorios y la extensión .SCR. Usa su propio servidor SMTP (Simple Mail Transfer Protocol) y se auto-envía a los buzones de correo extraídos de diversas fuentes en los sistemas infectados.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003

Está desarrollado en Visual C++, con una extensión de 44 KB y no está comprimido.

Posee su propio SMTP (Simple Mail Transfer Protocol) y se auto-envía masivamente a todas las direcciones de correo de la Libreta de Direcciones de Windows WAB (Windows Address Book), a las contenidas en las carpetas temporales de la memoria Cache y las extraídas de archivos de diversas extensiones.

Este gusano aprovecha la vulnerabilidad del MIME exploit que ejecuta el archivo bajo la opción de vista previa del software de correo MS Outlook.

Sus formatos de correo tienen las siguientes características:

Remitente, usa los buzones de correo de la Libreta de Direcciones de Windows, aunque en forma aleatoria puede hacerlo en forma encubierta usando cualquiera de las siguientes falsas direcciones (Email spoofing):

qruvabzabr@hotmail.com
red@fna.se
debatt@svt.se
susanne.sjostedt@tidningen.to
skolverket@skolverket.se
mary.martensson@aftonbladet.se
katarina.sternudd@aftonbladet.se
cecilia.gustavsson@aftonbladet.se
jessica.ritzen@aftonbladet.se
margareta.cronquist@tidningen.to
annika.sohlander@aftonbladet.se
kerstin.danielson@aftonbladet.se
insandare@tidningen.to
insandare@aftonbladet.se

Asuntos, cualquiera de los siguientes:

Is USA always number one?
LINUX.
GO USA !!!!
Nazi propaganda?
Disgusting propaganda.
Spy pics
Screensaver advice
Catlover.
G.W Bush animation.
Is USA a UFO?

Si el sistema operativo no es otro que uno en lenguaje sueco, el Asunto será uno de los siguientes:

Olaglig_skärmsläckare?
Hakkors.
Rashets eller inte?
Suspekta semaforer.
Avskyvä rd_reklam.
Överviktiga_förnedras.
Go ack ack ack....
Är_USA_ett_UFO?
Korkad president.
Katt, hund, kanin.

Anexados, está compuesto aleatoriamente por 2 caracteres de letras y la extensión .SCR

Contenidos, cualquiera de los siguientes, en formato HTML:

Opción 1:
Some misguided people actually believe that an american life has a
greater value than those of other nationalities. Just have a look at
this pathetic screensaver and then you'll know what i'm talking about.
All the best.

Opción 2:
Are you a windows user who is curious about the linux environment? This
screensaver gives you a preview of the KDE and GNOME desktops. What's
more, LINUX is a free system, meaning anyone can download it.

Opción 3:
This screensaver animates the star spangled banner. Please support the
US administration in their fight against terror. Thanx a lot!

Opción 4:
This screensaver has been banned in Germany. It contains a number of animated symbols that can be related to the nazi culture. What do you think, is it a legitimate ban or not? Please answer asap. Thanx!

Opción 5:
Hello! My 12 year old doughter received this screensaver on a CDROM that was sent to her through advertising. I find it disturbing that children are now being targets of nazi organizations. I would appreciate to hear from you on this matter, as soon as possible. Thank you.

Opción 6:
Here's the screensaver i told you about. It contains pictures taken by one of the US spy satellites during one of it's missions over iraq. If you want more of these pic's you know where you can find me. Bye!

Opción 7:
Do you think this screensaver could be considered illegal? Would appreciate if you or any one of your friends could check it out and answer as soon as humanly possible. Thanx !

Opción 8:
If you like cats you'll love this screensaver. It's four animated kittens running around on the screen. Contact me for more clipart. Have fun! ;-)

Opción 9:
Here's the animation that the FBI wants to stop. Seems like the feds are trying to put an end to peoples right to say what they think of the US administration. Have fun!

Opción 10:
Have a look at this screensaver, and then tell me that George.W Bush is not an alien ;-)

Al ejecutar el archivo anexado, el gusano se auto-copia a la carpeta %Windir% con los nombres:

SCANDISK.EXE
XXXXXXXX.EXE (8 caracteres aleatorios, con la extensión .EXE)

Para ejecutarse la próxima vez que se inicie el sistema el gusano crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ScanDisk" = "%Windir%\scandisk.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Una vez activado, el gusano intenta terminar con los procesos de los programas que contengan las siguientes cadenas asociadas a antivirus y firewalls:

virus
firewall
f-secure
symantec
mcafee
pc-cillin
trend micro
kaspersky
sophos
norton

Luego el gusano espera que el sistema se conecte a Internet y de hacerlo busca las direcciones de correo del sistema infectado ubicadas dentro de las carpetas temporales de la memoria Cache o de la Libreta de Direcciones de Windows, usando la librería WAB32.DLL, además de las contenidas en los archivos con las siguientes extensiones:

*.eml
*.htm
*.html
*.hta
*.dbx

Haciendo uso de su SMTP o del servidor de correo m1.611.telia.com, ubicado en Suecia, el gusano procede a auto-enviarse masivamente a las direcciones capturadas, con mensajes en inglés o sueco.

El gusano infectará todos los archivos PE (Portable Ejecutable) con una inusual técnica, al agregar un pequeño segmento de su código viral al final de los mismos. Los archivos infectados crecerán 567 bytes y no crearán copias de sí mismos.

El propósito de esta infección es ejecutar una copia del gusano cada vez que un aplicación o archivo ejecutable es terminado. Esto lo logra interceptando la llamada a la función API ExitProcess() desde el archivo infectado y redireccionándolo al fragmento del código antes descrito.

void ExitProcess(UINTuExitCode);

Dentro del código viral se puede leer estas cadenas de texto:

[WORM.SWEDENSUX] Coded by Uncle Roger in Hõrnsand, Sweden, 03.03.
I am being discriminated by the swedish schoolsystem.
This is a response to eight long years of discrimination
I support animal-liberators worldwide

El parche para el MIME exploit puede ser descargado de:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-020.asp

Sus payloads son los siguientes:

Se propaga masivamente en mensajes de correo, haciendo uso de la Libreta de Direcciones de Windows.
También usa las direcciones contenidas en las carpetas temporales del Cache y de archivos con diversas extensiones.
Usa su propio SMTP o un servidor de correo, ubicado en Suecia, para el envío masivo de mensajes.
Usa Remitentes verdaderos capturados del sistema infectado o falsos, con la técnica Email Spoofing.
Termina los procesos de algunos antivirus y firewalls.
Infecta y trunca archivos Portables Ejecutables dejándolos inoperativos.

PER ANTIVIRUS® versión 7.9 y 8.0 con registro de virus 17 de Marzo del 2003 detecta y elimina eficientemente este gusano.