Win32/Ganda.A@mm checks for the presence of mutex SWEDENSUX. If the mutex is present, the worm exits so that only one instance of the worm is running at a time. Otherwise, the worm takes the following actions:
-
Registers itself as a service if it is running on Windows 95, Windows 98, or Windows ME. On these Windows operating systems, services do not appear in Windows Task Manager.
-
Terminates running applications that have any of the following strings in memory:
"f-secure"
"firewall"
"kaspersky"
"mcafee"
"norton"
"pc-cillin"
"sophos"
"symatec"
"trend micro"
"virus"
This behavior occurs on Windows 95, Windows 98, and Windows ME only.
-
Copies itself to <Windows folder>\SCANDISK.exe.
-
Creates registry value: ScanDisk
with data: <Windows folder>\SCANDISK.exe
in registry key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
This registry modification causes Win32/Ganda.A@mm to run each time Windows starts.
-
Copies itself as <Windows folder>\<eight random lowercase letters>.EXE and as <Windows folder>\tmpworm.exe.
-
Infects local PE executable files. These files do not infect other files, but rather serve to run copies of the worm. Microsoft detects these infected files as Win32/Ganda.567.ldr.
Win32/Ganda.A@mm sends e-mail from skrattahaha@hotmail.com to the following e-mail addresses:
-
insandare@aftonbladet.s. e
-
insandare@tidningen.to
-
jessica.ritzen@aftonbladet.se
-
katarina.sternudd@aftonbladet.se
-
kerstin.danielson@aftonbladet.se
-
margareta.cronquist@tidningen.to
-
mary.martensson@aftonbladet.se
-
qruvabzabr@hotmail.com
-
red@fna.se
-
skolverket@skolverket.se
-
susanne.sjostedt@tidningen.to
The subject of the e-mail sent to these addresses is "DISKRIMINERAD !!!!" and the date is "Sat, 1 Mar 2003 11:12:13 +0100". The e-mail message body is lengthy and is written in Swedish.
The worm sends a copy of itself as an e-mail attachment to e-mail addresses that it gathers from files with extension .dbx, .eml, or .htm on the infected computer. The e-mail attachment name is <two random lowercase letters>.scr. If the Windows locale of the infected computer is Swedish, the worm sends the e-mails in Swedish, otherwise it sends the e-mails in English. The possible e-mail subjects and corresponding message bodies are as follows:
Subject: Är_USA_ett_UFO?
Hej igen!
Här är skärmsläckare nummer 4. Kolla in den och tala sedan om för mig att George W Bush INTE är en rymdvarelse. ;-)
Subject: Avskyvärd_reklam.
Message body:
Hej!
Min minderårige son fick denna skärmsläckare på en CD skiva via ett massutskick av reklam. Jag upprörs över det sätt på vilket rasistiska och nazistiska propagandister tillåts förmedla sin avskyvärda ideologi
till barn. Jag överväger nu att polisanmäla detta tilltag så snart du, i egenskap av juridisk fackman, delgett mig din åsikt. Tack på förhand.
Subject: Catlover.
Message body:
If you like cats you'll love this screensaver. It's four animated kittens running around on the screen. Contact me for more clipart. Have fun! ;-)
Subject: Disgusting propaganda.
Message body:
Hello! My 12 year old doughter received this screensaver on a CDROM that was sent to her through advertising. I find it disturbing that children are now being targets of nazi organizations. I would appreciate to hear from you on this matter, as soon as possible. Thank you.
Subject: G.W Bush animation.
Message body:
Here's the animation that the FBI wants to stop. Seems like the feds are trying to put an end to peoples right to say what they think of the US administration. Have fun!
Subject: Go ack ack ack....
Hej igen!
Den här skärmsläckaren verkar vara en amerikansk parodi på något som svenskarna gör på midsommar. Skratta inte ihjäl dig bara. :-)
Subject: GO USA !!!!
Message body:
This screensaver animates the star spangled banner. Please support the US administration in their fight against terror. Thanx a lot!
Subject: Hakkors.
Message body:
Hej!
Min klassföreståndare gick i taket när hon fick se skärmsläckaren som jag har använt under två terminer. Hon anklagade mig för antisemitism eftersom den ibland visar ett hakkors. Tycker du att jag bör acceptera detta från henne? Vore tacksam för ett utlåtande från dig. Svara helst så snart det går.
Subject: Is USA a UFO?
Message body:
Have a look at this screensaver, and then tell me that George.W Bush is not an alien. ;-)
Subject: Is USA always number one?
Message body:
Some misguided people actually believe that an american life has a greater value than those of other nationalities. Just have a look at this pathetic screensaver and then you'll know what i'm talking about. All the best.
Subject: Katt, hund, kanin.
Hej igen!
Om du gillar djur så måste denna skärmsläckare vara nå't för dig. Mjau, Voff, Arf Arf.... ;-)
Subject: Korkad president.
Hej igen!
Här är skärmsläckaren som jag snackade om. George W Bush verkar inte vara allför bright om man ska tro brittiska komiker. <GARV> :-)
Subject: LINUX.
Message body:
Are you a windows user who is curious about the linux environment? This screensaver gives you a preview of the KDE and GNOME desktops. What's more, LINUX is a free system, meaning anyone can download it.
Subject: Nazi propaganda?
Message body:
This screensaver has been banned in Germany. It contains a number of animated symbols that can be related to the nazi culture. What do you think, is it a legitimate ban or not? Please answer asap. Thanx!
Subject: Olaglig_skärmsläckare?
Message body:
Hej!
Min son visade mig denna skärmsläckare som jag misstänker kan bryta mot lagen om hets mot folkgrupp. Eftersom du är verksam som jurist, så vore jag tacksam för en fackmans syn på saken. Tack på förhand.
Subject: Överviktiga_förnedras.
Message body:
Hejsan !
Jag överväger att polisanmäla denna skärmsläckare. Jag anser att den har en nedlåtande attityd gentemot överviktiga personer. Jag skulle bli ytterst tacksam om du kunde bidra med din syn på saken.
Tack på förhand.
Subject: Rashets eller inte?
Message body:
Hejsan!
Min datalärare gjorde mig uppmärksam på att denna skärmsläckare möjligen kan tänkas vara ett verk av rasister. Nu vet jag varken ut eller in, eftersom jag hade tänkt använda den på min skoldator. Bör jag att fortsätta att använda den? Svara helst snarast.
Tack på förhand.
Subject: Screensaver advice.
Message body:
Do you think this screensaver could be considered illegal? Would appreciate if you or any one of your friends could check it out and answer as soon as
humanly possible. Thanx !
Subject: Spy pics.
Message body:
Here's the screensaver i told you about. It contains pictures taken by one of the US spy satellites during one of it's missions over iraq. If you want more of these pic's you know where you can find me. Bye!
Subject: Suspekta semaforer.
Message body:
Hejsan !
I skolan hittade jag en CD skiva som innehöll bl.a denna skärmsläckare. En lärare som råkade kasta ett öga på den avfärdade dess innehåll som ren rasistisk propaganda. Själv tycker jag inte att det är något att orda om. Vore tacksam för din uppfattning. Tack på förhand.
In some cases, the worm sends e-mail without a subject or message body. In these cases, the worm may exploit the Windows vulnerability described in Microsoft Security Bulletin MS01-020, which allows an executable e-mail attachment to run automatically when a user merely previews or opens the e-mail message in Microsoft Outlook or Outlook Express. This vulnerability affects computers using Internet Explorer 5.5 SP1 or earlier (except IE 5.01 SP2).
