Win32.Ganda.A@mm
( W32/Ganda@MM (McAfee), Ganda (F-Secure) )| Diffusione: | high | |
| Danno: | medium | |
| Dimensioni: | 45,056 bytes | |
| Scoperto: | 2003 Mar 18 |
SINTOMI:
- Presence of the following registry keys:[HKEY_LOCAL_MACHINE\Software\SS]
[HKEY_LOCAL_MACHINE\Software\SS\Sent]
[HKEY_LOCAL_MACHINE\Software\SS\Sent2]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\"ScanDisk"="C:\WINDOWS\SCANDISK.exe"]
- File "SCANDISK.exe" in Windows folder, 45,056 bytes in size
- a randomly named file in Windows folder, 45,056 bytes in size (ex: "xjvhtbxt.EXE")
DESCRIZIONE TECNICA:
Once run, it creates two copies of itself in Windows folder: SCANDISK.EXE and another randomly named file (ex: "xjvhtbxt.EXE").Creates a mutex "SWEDENSUX" in order to allow only one copy of itself in memory.
It attempts to shut down processes with names as "virus","firewall","f-secure","symantec","mcafee","pc-cillin","trend micro","kaspersky","sophos","norton".
It infects executable files by searching for *.exe, *.scr and *.lnk files in %windir%\DESKTOP\ and %windir%\START MENU\ If a .lnk file is found, it retrieves the executable path and name contained within the .lnk file, then opens the file (if it founds a .exe or a .scr file, it opens them directly) and adds a stub to the end of the executable file, then hijacks one of the functions ExitProcess, GetProcAddress, GetModuleHandleA, LoadLibraryA to point to the stub. The stub loads and executes the file with random name in Windows folder (ex: "xjvhtbxt.EXE").
It creates registry key
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run\"ScanDisk"="C:\WINDOWS\SCANDISK.exe"]
It looks in [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] and
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices] and attempts to modify the files pointed by the keys, and render them unusable.
It harvests e-mails searching for files matching "*.eml","*.htm*","*.dbx" and Windows Address Book.
It also contains the next hardcoded e-mails:
This mass-mailer uses IFRAME exploit (infected e-mails opened in Outlook will execute automatically) and features it's own SMTP engine and attempts to connect to a mailserver in Sweden.
The subject and body of the e-mails may vary, but the attachment is a file ??.scr where ? is any random letter (ex: xx.scr).
Subject/body are in english or swedish, the mass-mailer gets the default language using GetSystemDefaultLangID function.
The body is always in html. The subjects and bodies of an infected e-mail may be:
Subject: Screensaver advice
Body: Do you think this screensaver could be considered illegal? Would
appreciate if you or any one of your friends could check it out and
answer as soon as
humanly possible. Thanx !
-------------------
Subject: Spy pics.
Body: Here's the screensaver i told you about. It contains pictures taken by
one of the US spy satellites during one of it's missions over iraq. If
you want more of these pic's you know where you can find me. Bye!
-------------------
Subject: GO USA !!!!
Body: This screensaver animates the star spangled banner. Please support the
US administration in their fight against terror. Thanx a lot!
-------------------
Subject: G.W Bush animation.
Body: Here's the animation that the FBI wants to stop. Seems like the feds are
trying to put an end to peoples right to say what they think of the US
administration. Have fun!
-------------------
Subject: Is USA a UFO?
Body: Have a look at this screensaver, and then tell me that George.W Bush is
not an alien. ;-)
-------------------
Subject: Is USA always number one?
Body: Some misguided people actually believe that an american life has a
greater value than those of other nationalities. Just have a look at
this pathetic screensaver and then you'll know what i'm talking about.
All the best.
-------------------
Subject: LINUX.
Body: Are you a windows user who is curious about the linux environment? This
screensaver gives you a preview of the KDE and GNOME desktops. What's
more, LINUX is a free system, meaning anyone can download it.
-------------------
Subject: Nazi propaganda?
Body: This screensaver has been banned in Germany. It contains a number of
animated symbols that can be related to the nazi culture. What do you
think, is it a legitimate ban or not? Please answer asap. Thanx!
-------------------
Subject: Catlover.
Body: If you like cats you'll love this screensaver. It's four animated
kittens running around on the screen. Contact me for more clipart. Have
fun! ;-)
-------------------
Subject: Disgusting propaganda.
Body: Hello! My 12 year old doughter received this screensaver on a CDROM that
was sent to her through advertising. I find it disturbing that children
are now being targets of nazi organizations. I would appreciate to hear
from you on this matter, as soon as possible. Thank you.
-------------------
Subject: Olaglig_sk„rmsl„ckare?
Body: Hej!
Min son visade mig denna sk„rmsl„ckare som jag misst„nker kan
bryta mot lagen om hets mot folkgrupp. Eftersom du „r verksam som
jurist, s† vore jag tacksam f”r en fackmans syn p† saken. Tack
p† f”rhand.
-------------------
Subject: Rashets eller inte?
Body: Hejsan!
Min datal„rare gjorde mig uppm„rksam p† att denna
sk„rmsl„ckare m”jligen kan t„nkas vara ett verk av rasister. Nu
vet jag varken ut eller in, eftersom jag hade t„nkt anv„nda den p†
min skoldator. B”r jag att forts„tta att anv„nda den?
Svara helst
snarast.
Tack p† f”rhand.
-------------------
Subject: Hakkors.
Body: Hej!
Min klassf”rest†ndare gick i taket n„r hon fick se
sk„rmsl„ckaren som jag har anv„nt under tv† terminer. Hon
anklagade mig f”r antisemitism eftersom den ibland visar ett hakkors.
Tycker du att jag b”r acceptera detta fr†n henne? Vore tacksam f”r
ett utl†tande fr†n dig. Svara helst s† snart det g†r.
-------------------
Subject: Suspekta semaforer.
Body: Hejsan !
I skolan hittade jag en CD skiva som inneh”ll bl.a denna
sk„rmsl„ckare. En l„rare som r†kade kasta ett ”ga p† den
avf„rdade dess inneh†ll som ren rasistisk propaganda. Sj„lv tycker
jag inte att det „r n†got att
orda om. Vore tacksam f”r din uppfattning. Tack p† f”rhand.
-------------------
Subject: Avskyv„rd_reklam.?
Body: Hej!
Min minder†rige son fick denna sk„rmsl„ckare p† en CD skiva via
ett massutskick av reklam. Jag uppr”rs ”ver det s„tt p† vilket
rasistiska och nazistiska propagandister till†ts f”rmedla sin
avskyv„rda ideologi
till barn. Jag ”verv„ger nu att polisanm„la detta tilltag s†
snart du, i egenskap av juridisk fackman, delgett mig din †sikt. Tack
p† f”rhand.
-------------------
Subject: ™verviktiga_f”rnedras.?
Body: Hejsan !
Jag ”verv„ger att polisanm„la denna sk„rmsl„ckare. Jag anser
att den har en nedl†tande attityd gentemot ”verviktiga personer. Jag
skulle bli ytterst tacksam om du kunde bidra med din syn p† saken.
Tack p† f”rhand.
-------------------
Subject: Go ack ack ack....
Body: Hej igen!
Den h„r sk„rmsl„ckaren verkar vara en amerikansk parodi p†
n†got som svenskarna g”r p† midsommar. Skratta inte ihj„l dig
bara. :-)
-------------------
Subject: r_USA_ett_UFO=3F?
Body: Hej igen!
H„r „r sk„rmsl„ckare nummer 4. Kolla in den och tala sedan om
f”r mig att George W Bush INTE „r en rymdvarelse. ;-)
-------------------
Subject: Korkad president.
Body: Hej igen!
H„r „r sk„rmsl„ckaren som jag snackade om. George W Bush verkar
inte vara allf”r bright om man ska tro brittiska komiker.
-------------------
Subject: Katt, hund, kanin.
Body: Hej igen!
Om du gillar djur s† m†ste denna sk„rmsl„ckare vara n†\'t f”r
dig. Mjau, Voff, Arf Arf.... ;-)
-------------------
Subject: DISKRIMINERAD !!!!
Body: ... (the body is too long to be listed here)
The mass-mailer contains two encrypted strings: "I support animal-liberators worldwide." and "[WORM.SWEDENSUX] Coded by Uncle Roger in HSrnösand, Sweden, 03.03. I am being discriminated by the swedish schoolsystem. This is a response to eight long years of discrimination."
ISTRUZIONI DI RIMOZIONE:
- automatic removal: let BitDefender delete/disinfect files found infected.- use the free removal tool from BitDefender
ANALIZZATO DA:
Patrik Vicol BitDefender Virus ResearcherGuide elettroniche di Bitdefender
La serie di guide elettroniche Bitdefender è un'iniziativa di apprendimento per fornire alla community di lettori e utenti Bitdefender informazioni preziose sulle minacce elettroniche e i problemi di sicurezza del regno IT&C, offrendo al tempo stesso consigli pratici e soluzioni realizzabili per le loro necessità di difesa online. Gli esperti di sicurezza Bitdefender® condividono le loro conoscenze in fatto di prevenzione, identificazione ed eliminazione di malware, con una particolare enfasi alla privacy online e le diverse tecnologie, contromisure e metodi di prevenzione del cyber crimine.
Coprendo argomenti che spaziano dalla protezione online di bambini e famiglie, all'utilizzo in sicurezza di social network, oltre a come impedire la violazione di dati e garantire la protezione degli ambienti aziendali, la serie di guide elettroniche è rivolta a un ampio pubblico di piccole aziende e singoli utenti preoccupati della sicurezza e l'integrità delle proprie reti e sistemi. Le guide elettroniche analizzano anche problemi relativi alle attività quotidiane di manager della sicurezza di sistemi IT&C, amministratori di rete e di sistema, sviluppatori di tecnologie di sicurezza, analisti e ricercatori.
Guida blog in sicurezza
Trucchi e consigli su come proteggere il tuo blog e la tua identità
I blog sono una delle forme di espressione scritta più diffuse sul web, con più di 150 milioni di blog registrati in tutto il mondo. Mentre i lettori abituali cercando informazioni e articoli, i cybercriminali hanno ben altri interessi. Trovare informazioni personali e ottenere spazio economico per le proprie campagne di malware sono solo due dei molteplici usi a cui possono essere soggetti i blog.
Questa documentazione include le linee guida principali per gestire i blog in modo sicuro ed è concentrata in particolare sui blog individuali che sono self-hosted oppure offerti come servizio dai principali fornitori di blog.
Guida alla protezione di reti wireless
Trucchi e consigli su come proteggere la tua rete domestica dagli intrusi
Questo documento è rivolto a utenti che usano o intendono usare una rete wireless domestica. In un momento in cui la comunicazione wireless è diventata una parte significativa delle nostre vite, i cybercriminali cercano di sfruttare ogni possibile varco nella configurazione wireless per intercettare il traffico dati o utilizzare la connessione a Internet per scopi illegali.
La seguente guida ti insegnerà le migliori pratiche per usare reti wireless non sicure, oltre a come configurare correttamente il tuo router o access point casalingo per impedire che altri possano sfruttare la tua rete.
Guida alla protezione online dei bambini
Come proteggere e difendere l'esperienza digitale dei bambini
Questo documento è rivolto a famiglie, genitori e insegnanti per aiutarli a rendere più sicure le attività digitali di bambini e adolescenti. In un'era in cui la produzione in serie e l'accessibilità dei computer hanno trasformato questi dispositivi in comodità usate regolarmente in casa, i bambini imparano a usare i computer e Internet fin dalla tenera età. Malgrado gli ovvi vantaggi di comunicazione, il WWW può anche essere un luogo pericoloso per i bambini, con minacce elettroniche indirizzate specificatamente alla loro fascia d'età o ai loro computer domestici o scolastici.
Questa guida elettronica analizza i rischi e i pericoli online principali per i bambini, come cyber-bullismo, esposizione a contenuti inappropriati, dipendenza online e altre azioni online dannose, concentrandosi anche su argomenti come malware, phishing, furto d'identità e spam, ai quali i preadolescenti, come qualsiasi altro utente di Internet, oggigiorno sono esposti. Una sezione di suggerimenti sulla sicurezza aiuta genitori e insegnanti a comprendere e gestire meglio questi problemi indirizzati ai bambini.
Guida alla sicurezza online di Silver Surfers
Come proteggere idee e contenuti preziosi dal cyber crimine
Questo documento è rivolto alle famiglie e agli anziani per aiutarli a navigare e divertirsi in sicurezza con le proprie attività online.
A una prima occhiata, potrebbe sembrare che gli anziani siano esposti al cyber crimine proprio come la maggior parte degli utenti Internet inesperti, indipendentemente dall'età. Tuttavia, come mostra questa guida elettronica attraverso i vari casi affrontati, ci sono diversi rischi e pericoli indirizzati direttamente ai navigatori più anziani, come metodi ingannevoli di pagamento delle tasse o incasso della pensione, o ancora truffe bancarie. Esempi, suggerimenti e consigli arricchiscono i casi affrontati e forniscono ai lettori linee guida molto utili nel loro uso quotidiano di Internet.
Guida per prevenire fughe di dati
Come proteggere idee e contenuti preziosi dal cyber crimine
La guida elettronica è stata realizzata per coprire i vari e potenziali punti dolenti del business della sicurezza dei dati, dalla questione dell'integrità fisica della rete ai meccanismi complessi del cyber crimine contro le aziende (ad esempio Trojan bancari e phishing). Questo materiale intende anche associare, anche se non in modo dettagliato come in una descrizione tecnica più completa, le caratteristiche delle diverse soluzioni Bitdefender rivolte agli utenti consumer o aziendali alle situazioni in cui potrebbero rivelarsi utili agli amministratori IT.
Consultare questo documento potrebbe essere utile per decidere la scelta migliore per la sicurezza di reti di piccole e medie dimensioni e avere una base solida per ulteriori ricerche comparative sull'argomento.
White papers
- Whitepaper su Facebook
- Tecnologia antivirus Bitdefender
- B-HAVE, la strada verso il successo (.pdf)
- Il mezzo o il messaggio? Gestire l'image spam, dicembre 2006,Virus Bulletin
- lotta contro spam
- Tecnologia antispam NeuNet Bitdefender
- Proactive security I body armor against business attacks
- Whitepaper sulle minacce emergenti per la sicurezza aziendale
- Utilizzare la tecnologia proattiva B-HAVE mutevole di Bitdefender per proteggersi dalle minacce versatili
- Proteggere le e-mail - La prima linea di difesa strategica
- Nomi dei virus. Il dilemma "Chi è Chi?"
- Facebook – Un'altra breccia nel muro
- Bitdefender Active Virus Control: protezione proattiva contro nuove minacce emergenti
Rapporto E-Threats Landscape di Bitdefender
Lo scopo di questo rapporto è fornire un'analisi completa sulle diverse minacce. Gli esperti Bitdefender® di sicurezza analizzano ed esaminano accuratamente le minacce di ogni semestre, concentrandosi sulle vulnerabilità e i punti deboli dei software, i diversi tipi di malware, oltre alle eventuali contromisure, la prevenzione del cyber-crimine e il rispetto della legge. Il rapporto E-Threats Landscape si concentra soprattutto sulle ultime tendenze, ma contiene anche informazioni e dati relativi ai periodi oggetto di indagini precedenti, oltre a previsioni per i prossimi semestri. Questo documento è rivolto principalmente a responsabili della sicurezza di sistemi ITC, amministratori di rete o di sistema, sviluppatori, analisti e ricercatori, ma contiene problematiche interessanti per un pubblico più ampio, come piccole aziende o singoli utenti che si preoccupano della sicurezza e dell'integrità delle proprie rete e sistemi.
Rapporto E-Threat Landscape S2 2011 - Panoramica
Vent'anni fa, è nato un servizio di comunicazione elettronica assolutamente rivoluzionario. Sarebbe diventato così popolare tra utenti di ogni età e professione, che è ancora oggi il sistema più utilizzato: vi presentiamo l'SMS, il "short message service".
Oggi i telefoni cellulari sono molto di più di oggetti ingombranti che possono trasferire messaggi vocali e scritti da un punto a un altro: sono dispositivi assolutamente indispensabili nel mondo 2.0, così potenti e complessi, da avere un proprio sistema operativo e, di conseguenza, da dover affrontare la loro quota di problemi informatici. Mentre i primi sei mesi del 2011 sono stati caratterizzati soprattutto da vulnerabilità software e fughe di dati importanti, la seconda metà ha spostato le luci della ribalta su una nuova famiglia di malware, ma ha anche svelato uno scandalo di spionaggio a danno degli utenti, che a quanto pare ha coinvolto una vasta gamma di operatori di telefonia mobile e il controverso fornitore di software CarrierIQ.
Il panorama dei malware ha visto il dominio soprattutto di Tro-jan.Autorun.Inf e Win32.Worm.Downadup, due concorrenti piuttosto nocivi che hanno avuto origine nell'era di Windows Xp, ma che sono riusciti a mantenere la loro posizione malgrado i diversi aggiornamenti del sistema operativo e le patch successive, che hanno risolto le falle nella sicurezza sfruttate dai due malware. I migliori candidati per la seconda metà del 2011 sono Trojan.AutorunInf, Win32.Worm.Downadup e Exploit.CplLnk.
I furti di dati attribuiti ad Anonymous e ai suoi diversi gruppi di hacker sono continuati per tutta la seconda metà del 2011. Alcuni tra i bersagli più importanti sono state società come Mitsubishi Heavy Industries, Adidas, RIM, Tiroler Gebietskrankenkasse, Nexon ma anche le Nazioni Unite. Anche la fiducia in molte istituzioni è stata messa a dura prova, come nel caso dell'incidente DigiNotar nella prima metà del 2011, che ha esposto molti utenti inconsapevoli a un massiccio attacco di phishing, sfruttando certificati digitali rubati e generati per istituzioni e agenzie governative molto importanti, quali Google, Tor, la CIA e il servizio segreto israeliano, il Mossad.
I social network hanno sempre giocato un ruolo chiave nel diffondere malware e divulgare false notizie sulla morte di personalità importanti, come Muammar Gheddafi o Steve Jobs. Di particolare importanza sono state le campagne dannose sviluppate attorno al presunto filmato dell'esecuzione di Gheddafi e la parata commemorativa in onore del compianto Steve Jobs.
Scarica subito la versione completa Rapporto E-Threat Landscape S2 2011 (pdf)
Scarica subito il riepilogo esecutivo Rapporto E-Threat Landscape S2 2011 - Riepilogo esecutivo (pdf)
Archivio
2011
Scarica Rapporto E-Threats Landscape S1 2011 - Riepilogo esecutivo (pdf)
2010
Scarica Rapporto E-Threats Landscape S2 2010 - Riepilogo esecutivo (pdf)
Scarica Rapporto E-Threats Landscape S2 2010 (pdf)
Scarica Rapporto E-Threats Landscape S1 2010 - Riepilogo esecutivo (pdf)
Scarica Rapporto E-Threats Landscape S1 2010 (pdf)
2009
Scarica Riepilogo esecutivo analisi malware e spam S1 2009 (pdf)
Scarica Rapporto E-Threats Landscape S1 2009 (pdf)
Scarica Analisi malware e spam S2 2009 (pdf)
Scarica Rapporto E-Threats Landscape S2 2009 - Riepilogo esecutivo (pdf)
2008
Scarica Rapporto E-Threats Landscape S1 2008 (pdf)
Scarica Rapporto E-Threats Landscape S2 2008 (pdf)
A chi chiedere? Sotto trovi un elenco di tutti i nostri rappresentanti media che sono pronti a rispondere a qualsiasi domanda che potresti avere.
Direttore PR globale