W32/Ganda-A

Veuillez suivre les instructions de suppression des vers.

Veuillez suivre les instructions de suppression des vers.

Windows NT/2000/XP

Sous Windows NT/2000 vous devrez supprimer de la base de registre la clé suivante. Cette suppression est facultative sous Windows 95/98/Me.

Dans la Barre des tâches, cliquez sur Démarrer|Exécuter. Saisissez "Regedit" et appuyez sur Entrée. L'éditeur de registre s'ouvre.

Avant de modifier le registre, effectuez une sauvegarde. Dans le menu "Registre", cliquez sur "Exporter un fichier du Registre". Dans la zone "Etendue de l'exportation", cliquez sur "Tout", puis enregistrez votre registre sous Backup.

Recherchez l'entrée HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
ScanDisk = <Windows>\scandisk.exe

et supprimez-la si elle existe

Fermez l'éditeur de registre.

W32/Ganda-A est un ver qui se propage en s'envoyant par e-mail à toutes les adresses trouvées dans les fichiers EML, HTM*, DBX et WAB.

W32/Ganda-A crée deux copies de lui-même dans le dossier Windows. Une copie est nommée scandisk.exe et l'autre est un fichier EXE portant un nom aléatoire composé de huit caractères minuscules choisis de manière aléatoire.

W32/Ganda-A paramètre alors dans la base de registre l'entrée suivante pour se charger automatiquement au démarrage de l'ordinateur :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
ScanDisk = <Windows>\scandisk.exe

Tout en envoyant des e-mails, le ver crée une copie supplémentaire de lui-même dans le dossier Windows sous le nom de fichier tmpworm.exe.

W32/Ganda-A parcourt la RAM pour rechercher des applications contenant certaines des chaînes de texte suivantes en mémoire : virus, firewall, f-secure, symantec, mcafee, pc-cillin, trend micro, kaspersky, sophos, norton. Les processus contenant ces chaînes de caractères sont arrêtés. Il est clair que le but est d'arrêter une gamme de produits de sécurité. Mais cela peut provoquer des dégâts collatéraux : par exemple, si vous avez un document Word ouvert contenant l'une des chaînes ci-dessus, le ver arrêtera Word sans vous permettre d'enregistrer vos changements.

W32/Ganda-A infecte les fichiers EXE et SCR de votre disque dur en insérant un petit programme chargeur qui essaie d'exécuter une copie du ver à partir du dossier Windows lorsque vous fermez une application infectée. Les fichiers modifiés ainsi comptent sur la présence du fichier ver aléatoirement nommé. Si vous supprimez les fichiers du ver de votre dossier Windows, vous rendez immédiatement les fichiers EXE modifiés incapables d'infecter d'autres fichiers.

W32/Ganda-A peut envoyer des e-mails avec des combinaisons de plusieurs objets et corps de message, à la fois en anglais et en suédois. A noter que le ver peut "usurper" les adresses e-mail lorsqu'il s'envoie, de manière à ce que lorsque vous recevez un e-mail infecté, il est très difficile de deviner qui vous l'a réellement envoyé.

Les e-mails anglais peuvent avoir les caractéristiques suivantes:

Objet : Screensaver advice.
Corps du message : Do you think this screensaver could be considered illegal? Would appreciate if you or any one of your friends could check it out and answer as soon as humanly possible.

Objet : Spy pics.
Corps du message :Here's the screensaver i told you about. It contains pictures taken by one of the US spy satellites during one of it's missions over iraq. If you want more of these pic's you know where you can find me. Bye!

Objet : GO USA !!!!
Corps du message : This screensaver animates the star spangled banner. Please support the US administration in their fight against terror. Thanx a lot!

Objet : G.W Bush animation.
Corps du message : Here's the animation that the FBI wants to stop. Seems like the feds are trying to put an end to peoples right to say what they think of the US administration. Have fun!

Objet : Is USA a UFO?
Corps du message : Have a look at this screensaver, and then tell me that George.W Bush is not an alien. ;-)

Objet : Is USA always number one?
Corps du message : Some misguided people actually believe that an american life has a greater value than those of other nationalities. Just have a look at this pathetic screensaver and then you'll know what i'm talking about. All the best.

Objet : LINUX.
Corps du message : Are you a windows user who is curious about the linux environment? This screensaver gives you a preview of the KDE and GNOME desktops. What's more, LINUX is a free system, meaning anyone can download it.

Objet : Nazi propaganda?
Corps du message : This screensaver has been banned in Germany. It contains a number of animated symbols that can be related to the nazi culture. What do you think, is it a legitimate ban or not? Please answer asap. Thanx!

Objet : Catlover.
Corps du message : If you like cats you'll love this screensaver. It's four animated kittens running around on the screen. Contact me for more clipart. Have fun! ;-)

Objet : Disgusting propaganda.
Corps du message : Hello! My 12 year old doughter received this screensaver on a CDROM that was sent to her through advertising. I find it disturbing that children are now being targets of nazi organizations. I would appreciate to hear from you on this matter, as soon as possible. Thank you.

Dans tous les cas précédents, le fichier joint a un nom aléatoire composé de 2 caractères et une extension SCR (par ex. oc.scr).

Le ver crée aussi dans la base de registre les clés suivantes :

HKLM\Software\SS\Sent
HKLM\Software\SS\Sent2

W32/Ganda-A envoie à quelques adresses e-mail appartenant apparemment à des journalistes suédois une diatribe incohérente sur le système éducatif suédois. Ces e-mails ne contiennent pas le ver comme pièce jointe.

W32/Ganda-A contient le texte :
[WORM.SWEDENSUX] Coded by Uncle Roger in Hõrnsand, Sweden, 03.03. I am being discriminated by the swedish schoolsystem. This is a response to eight long years of discrimination.