Datenrettung    News    Datenretter

Glossar    Erste Hilfe    Datenbackup    Computer & Hardware    News    Glossar    Viren & Trojaner    Viren-Katalog    AntiViren-Tools    Hack-Angriffe    Internes    Startseite    Partner    Sitemap    Unsere Banner    Presseinfo    Kontakt    Impressum

Viren : Virenkatalog A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9 I-Worm.Ganda I-Worm.Ganda alias SwedenSux, Myzli "I-Worm.Ganda" verwendet für seine Verbreitung eine eigene SMTP-Engine und versendet sich an alle eMail-Adressen die er auf dem infizierten PC findet. Der "I-Worm.Ganda" kommt per Attachment auf den Rechner und wird durch die Sicherheitslücke IFRAME (Attachments werden automatisch ausgeführt) oder einen Doppelklick des eMail-Empfängers auf die Datei aktiv. Der Attachment-Name besteht aus 2 Buchstaben und der Dateiendung SCR, die Größe der Datei beträgt ca. 45 KByt. Der Absender der eMail ist nicht der infizierte Rechner sondern wird vom Wurm selbst bestimmt. Im Wurm-Code sind einige Absender integriert und somit könnte ein Journalist oder ein Mitarbeiter der schwedischen Schulbehorde als Absender eingetragen sein. Die angegebenen Absender sind z.B. skolverket@skolverket.se red@fna.se debatt@svt.se und Personen von tidningen.to aftonbladet.se Diese Personen erhalten immer eine Kopie des Wurmes. Der Text der eMail ist je nach Betriebssystem in englischer oder schwedischer Sprache. Nachfolgend einige Beispiele in englischer Sprache: Subject: Screensaver advice. Body: Do you think this screensaver could be considered illegal? Would appreciate if you or any one of your friends could check it out and answer as soon as humanly possible. Thanx ! Subject: Spy pics. Body: Here's the screensaver i told you about. It contains pictures taken by one of the US spy satellites during one of it's missions over iraq. If you want more of these pic's you know where you can find me. Bye! Subject: GO USA !!!! Body: This screensaver animates the star spangled banner. Please support the US administration in their fight against terror. Thanx a lot! Subject: G.W Bush animation. Body: Here's the animation that the FBI wants to stop. Seems like the feds are trying to put an end to peoples right to say what they think of the US administration. Have fun! Subject: Is USA a UFO? Body: Have a look at this screensaver, and then tell me that George.W Bush is not an alien. ;-) Subject: Is USA always number one? Body: Some misguided people actually believe that an american life has a greater value than those of other nationalities. Just have a look at this pathetic screensaver and then you'll know what i'm talking about. All the best. Subject: LINUX. Body: Are you a windows user who is curious about the linux environment? This screensaver gives you a preview of the KDE and GNOME desktops. What's more, LINUX is a free system, meaning anyone can download it. Subject: Nazi propaganda? Body: This screensaver has been banned in Germany. It contains a number of animated symbols that can be related to the nazi culture. What do you think, is it a legitimate ban or not? Please answer asap. Thanx! Subject: Catlover. Body: If you like cats you'll love this screensaver. It's four animated kittens running around on the screen. Contact me for more clipart. Have fun! ;-) Subject: Disgusting propaganda Body: Hello! My 12 year old doughter received this screensaver on a CDROM that was sent to her through advertising. I find it disturbing that children are now being targets of nazi organizations. I would appreciate to hear from you on this matter, as soon as possible. Thank you. In schwedischer Sprache benutzt er folgende Subjects für die eMails: Olaglig skärmsläckar Rashets eller inte? Hakkors. Suspekta semaforer. Avskyvärd reklam. Överviktiga förnedra ... Go ack ack ack.... Är USA ett UFO? Korkad president. Katt, hund, kanin. Myzli! "I-Worm.Ganda" ist aber nicht nur ein Wurm der sich per eMail verbreiten kann sondern er manipuliert am infizieren Rechner auch EXE-Dateien (hinzufügen von 567 Bytes) damit er laufend aufgerufen wird. Sobald der Wurm "LNK-Dateien" auf dem Rechner findet werden auch diese verändert und zeigen dann auch auf die Kopien des "I-Worm.Ganda" (EXE oder SCR) womit sichergestellt ist, dass er sich automatisch startet wenn eine dieser Dateien aufgerufen wird. Wird der Wurm aktiv, entschlüsselt er sich zunächst mit der Datei "tmpworm.exe" und beschafft sich die API-Adressen der Dateien "KERNEL32.DLL", "ADVAPI32.DLL", "SHELL32.DLL", "WININET.DLL" und "WSOCK32.DLL". Sollten weitere Kopien dieser Dateien auf dem infizierten Rechner vorhanden sein werden diese auch verwendet. Auch die Registry wird vom "I-Worm.Ganda" nicht verschont und so trägt er sich als Service ein und bleibt resident im Windows-Speicher. HKLM\Software\Microsoft\Windows\CurrentVersion\Run "ScanDisk" = "%WinDir%\SCANDISK.EXE" Die Datei "SCANDISK.EXE" sowie eine EXE-Datei mit 8 zufälligen Buchstaben sind eine Kopie des Wurmes im Windows-Verzeichnis die angelegt wurden. Auf Virenschutz-Programme hat es dieser Wurm auch abgesehen und so beendet er Prozesse mit folgenden Namensinhalten: virus firewall f-secure symantec mcafee pc-cillin trend micro kaspersky sophos norton Linktipps: Designermode