Ganda.A
est un virus qui se propage par email. Il se présente sous la
forme d'un message dont le titre et le nom du fichier joint
sont aléatoires, en se faisant passer pour un économiseur d'écran
sur la guerre en Irak ou d'autres sujets polémiques. Si le fichier
joint est exécuté, le virus s'envoie à toutes les adresses récupérées
notamment dans le carnet d'adresses et les pages web présentes
sur le disque dur, modifie les fichiers .EXE et .SCR, puis tente
de désactiver certains antivirus et firewalls personnels.
PREVENTION
:
Les
utilisateurs concernés doivent mettre à
jour leur antivirus. En cas de doute, les utilisateurs
d'Internet Explorer 5.01 et 5.5 doivent aussi mettre
à jour leur navigateur via le site
de Microsoft ou le service WindowsUpdate
afin de corriger la faille exploitée par le virus
pour s'exécuter automatiquement.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection AntiGanda pour rechercher
et éliminer le virus.
|
TYPE
:
Ver
+ Infecteur de fichiers
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
ALIAS
:
Win32.Ganda.A (Computer Associates)
W32/Ganda@mm (F-Secure)
I-Worm.Ganda (Kaspersky)
W32/Ganda@MM (McAfee)
W32/Densux (Panda Software)
W32/Ganda-A (Sophos)
W32.Ganda.A@mm (Symantec)
PE_GANDA.A (Trend Micro)
WORM.SwedenSux
Myzli
TAILLE
:
45.056 octets
DECOUVERTE
:
17/03/2003
DESCRIPTION
DETAILLEE :
Le virus se présente sous la forme d'un message
dont le titre, le corps et le nom du fichier joint sont aléatoires,
en anglais ou en suédois. Les
titres de messages possibles :
- Screensaver
advice.
- Spy
pics.
- GO
USA !!!!
- G.W
Bush animation.
- Is
USA a UFO?
- Is
USA always number one?
- LINUX.
- Nazi
propaganda?
- Catlover.
- Disgusting
propaganda.
- Olaglig_skärmsläckare?
- Rashets
eller inte?
- Hakkors.
- Suspekta
semaforer.
- Avskyvärd_reklam.
- Överviktiga_förnedras.
- Go
ack ack ack....
- Är_USA_ett_UFO?
- Korkad
president.
- Katt,
hund, kanin.
La pièce
jointe possède un nom aléatoire composé
de deux lettres et d'une extension en .SCR :
- QU.SCR
- RG.SCR
- PW.SCR
- AB.SCR
- XY.SCR
Ganda.A
utilise une vulnérabilité IFRAME des navigateurs
Internet Explorer 5.01 et 5.5 non à jour dans leurs
correctifs (MS01-020)
pour s'exécuter automatiquement à l'ouverture
du message ou lors de son affichage dans la fenêtre
de prévisualisation avec les logiciels Outlook ou Outlook
Express.
Si le
fichier joint est exécuté, le virus se copie
dans le répertoire Windows sous le nom SCANDISK.EXE
et sous un autre nom aléatoire, puis modifie la base
de registres pour s'exécuter automatiquement au prochain
démarrage. Ganda.A extrait ensuite les adresses emails
contenues dans le carnet d'adresses Windows ainsi que les
fichiers .HTM* (pages web), .EML (Outlook Express Mail) et
DBX (Outlook Express) pour s'y envoyer automatiquement. Le
virus peut s'envoyer avec une fausse adresse d'expéditeur.
Le virus
modifie les fichiers .EXE et .SCR présents sur le disque
dur en y ajoutant un bout de code de 567 octets, de manière
à ce que l'exécution de chacun de ces fichiers
provoque l'exécution d'une des copies du virus présente
dans le répertoire Windows. Les fichiers ainsi
modifiés transférés dans un ordinateur
sain ne peuvent donc pas infecter ce dernier.
Le virus
tente de désactiver les antivirus et firewalls les
plus populaires, en terminant les processus correspondants
: F-secure, Symantec, Mcafee, Pc-cillin, Trend micro, Kaspersky,
Sophos, Norton. A chaque infection, il spamme enfin une liste
d'une quinzaine d'adresses email pré-programmées.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|