Alias: W32/Ganda.A@mm, WORM.SwedenSux, Myzli 

Origen: Suiza 

Este gusano de correo electrónico fue encontrado el 17 de marzo de 2003. Utiliza su propio mecanismo SMTP para enviar e-mails a los correos recopilados de la libreta de direcciones de Windows. 

Los e-mails incluyen un adjunto con extensión SCR (salvapantallas) de unos 45 kb de longitud. El nombre del archivo siempre es corto del tipo RG.SCR o PW.SCR. 

Algunos de los mensajes enviados por el gusano tienen un remitente falso, reemplazando el campo "De" con las direcciones pertenecientes a periodistas o escuelas oficiales suecas (skolverket@skolverket.se, red@fna.se, debatt@svt.se) que en realidad no tienen ninguna vinculación con el virus y a las que también enviará numerosos e-mails infectados. 

Los mensajes enviados por el gusano están en sueco o en inglés dependiendo del idioma configurado en el equipo atacado. 

Además de la difusión de e-mails, Ganda también añade tipo parásito una pequeña porción de código a los archivos ejecutables PE y cuyo propósito es parchear las localizaciones de las llamadas API de modo que el código del gusano sea ejecutado. 

Descripción Técnica

El archivo que contiene al gusano no está comprimido, sin embargo, algunas áreas del cuerpo del virus si están codificada con un algoritmos criptográfico sencillo.

Cuando Ganda se activa, lo primero que hace es descifras sus áreas internas y luego obtiene direcciones API incluídas en diversas funciones de las librerías KERNEL32.DLL, ADVAPI32.DLL, SHELL32.DLL, WININET.DLL, WSOCK32.DLL. A continuación el gusano crea un mutex llamado 'SWEDENSUX', el cual, se utiliza para identificar la presencia de cualquier otra copia del gusano en el sistema. Ganda asignará unos cuantos bloques de memoria a su uso interno. Después de esto, se registrará como una tarea en proceso y permanecerá residente en la memoria de Windows.

Ganda se oculta dentro del archivo SCANDISK.EXE en el directorio del sistema y también copiará aquí dentro de otro archivo con nombre seleccionado al azar (por ejemplo AYDJSSKJ.EXE). Luego crea una clave de arranque dentro de SCANDISK.EXE:

[HKLM\Software\Microsoft\Windows\Current Version\Run] "ScanDisk" = " %WinDir %\SCANDISK.EXE " 

El siguiente paso será intentar interrumpir los procesos anti-virus y de otros programas de seguridad que tengan las siguientes cadenas:

virus
firewall
f-secure
symantec
mcafee
pc-cillin
trend micro
kaspersky
sophos
norton

Una vez localizados estos correos Ganda utilizará su propio mecanismo SMTP para enviarles mensajes infectados a través del servidor mencionado en el Registro o a "m1.611.telia.com". Como ya indicábamos, en ocasiones falsifica la dirección del remitente que puede ser seleccionado de la lista de e-mails encontrado o de la lista siguiente:

qruvabzabr@hotmail.com
red@fna.se
debatt@svt.se
susanne.sjostedt@tidningen.to
skolverket@skolverket.se
mary.martensson@aftonbladet.se
katarina.sternudd@aftonbladet.se
cecilia.gustavsson@aftonbladet.se
jessica.ritzen@aftonbladet.se
margareta.cronquist@tidningen.to
annika.sohlander@aftonbladet.se
kerstin.danielson@aftonbladet.se
insandare@tidningen.to
insandare@aftonbladet.se

Adicionalmente enviará un mensaje de 12kb en sueco a todos los miembros de la lista anterior utilizando el remitente "skrattahaha@hotmail.com". Si el gusano consigue difundirse, provocará la sobrecarga de los servidores de correo.

El asunto y cuerpo del mensaje infectado se seleccionan al azar de una lista interna. A continuación se mencionan algunos ejemplos en inglés:

Asunto:

Screensaver advice.

Cuerpo:

Do you think this screensaver could be considered illegal? Would
appreciate if you or any one of your friends could check it out and
answer as soon as humanly possible. Thanx !

Asunto:

Spy pics.

Cuerpo:

Here's the screensaver i told you about. It contains pictures taken by
one of the US spy satellites during one of it's missions over iraq. If
you want more of these pic's you know where you can find me. Bye!

Asunto: 

GO USA !!!!

Cuerpo:

This screensaver animates the star spangled banner. Please support the
US administration in their fight against terror. Thanx a lot!

Asunto:

G.W Bush animation.

Cuerpo:

Here's the animation that the FBI wants to stop. Seems like the feds are
trying to put an end to peoples right to say what they think of the US
administration. Have fun!

Asunto:

 Is USA a UFO?

Cuerpo:

Have a look at this screensaver, and then tell me that George.W Bush is
not an alien. ;-)

Asunto:

Is USA always number one?

Cuerpo:

Some misguided people actually believe that an american life has a
greater value than those of other nationalities. Just have a look at
this pathetic screensaver and then you'll know what i'm talking about.
All the best.

Asunto:

LINUX.

Cuerpo:

Are you a windows user who is curious about the linux environment? This
screensaver gives you a preview of the KDE and GNOME desktops. What's
more, LINUX is a free system, meaning anyone can download it.

Asunto:

Nazi propaganda?

Cuerpo:

This screensaver has been banned in Germany. It contains a number of
animated symbols that can be related to the nazi culture. What do you
think, is it a legitimate ban or not? Please answer asap. Thanx!

Asunto:

Catlover.

Cuerpo:

If you like cats you'll love this screensaver. It's four animated
kittens running around on the screen. Contact me for more clipart. Have
fun! ;-)

Asunto:

Disgusting propaganda

Cuerpo:

Hello! My 12 year old doughter received this screensaver on a CDROM that
was sent to her through advertising. I find it disturbing that children
are now being targets of nazi organizations. I would appreciate to hear
from you on this matter, as soon as possible. Thank you.

Ganda emplea los siguientes asuntos en sueco:

Olaglig skärmsläckar
Rashets eller inte?
Hakkors.
Suspekta semaforer.
Avskyvärd reklam.
Överviktiga förnedra ...
Go ack ack ack....
Är USA ett UFO?
Korkad president.
Katt, hund, kanin.
Myzli!

Adición Parásita a Archivos Ejecutables

Ganda infecta archivos .EXE (sólo archivos EXE PE) y archivos .SCR a los que añade un pequeño código que ejecuta el archivo que contiene el gusano cada vez que se ejecuta un archivo infectado. También lee el contenido de los archivos .LNK (links) e intenta añadir a los primeros archivos mencionados, los mencionados en los links.

Cuando afecta a los EXE y SCR, Ganda busca ciertas llamadas API en la libreria KERNEL32.DLL y las reemplaza por un salto a su código añadido. Una de las siguientes instrucciones de llamada API será parcheada:

LoadLibraryA
GetModuleHandleA
GetProcAddress
ExitProcess

De modo que cuando un archivo afectado se inicie y la ejecución alcance la dirección añadida, el control pasará a la pequeña pieza de código parásita, que durante su turno comenzará la activación del archivo de nombre aleatorio que contiene el gusano y que se encuentra almacenado en la carpeta de Windows.