W32/Ganda

Bei Ganda handelt es sich um einen Mitte März 2003 entdeckten Wurm, der sich automatisch an Adressen verbreitet, die er im Windows- bzw. Outlook Express Adressbuch (*.wab) findet oder in Dateien mit Endungen .eml, .dbx und .htm.

Die Mails werden teils in englischer, teils in schwedischer Sprache verschickt. Bisher wurden gemäss dem Antivirus-Labor von Kaspersky in den englischen Ganda-Mails verschiedene Mailtexte und die folgenden Betreffzeilen gesehen:

"Screensaver advice."

"Spy pics."

"GO USA !!!!"

"G.W Bush animation."

"Is USA a UFO?"

"Is USA always number one?"

"LINUX."

"Nazi propaganda?"

"Catlover."

"Disgusting propaganda."

Der Name der Beilage besteht aus zwei beliebigen Buchstaben und der Endung SCR, die einen Bildschirmschoner vorgaukeln soll, zum Beispiel "rg.scr" oder "pw.scr". Die Absender-Adresse ist oft gefälscht, um den Virenversand einigen schwedischen Journalisten in die Schuhe zu schieben.

Wenn der Wurm ausgeführt wird, lädt er sich als Windows-Dienst in den Speicher und kopiert sich mit dem Dateinamen "scandisk.exe" in den Windows-Ordner. Achtung: Falls Sie eine gleichnamige Datei ("scandisk.exe") im Ordner C:\Windows\Command finden, ist das ganz normal. Diese ist auf den meisten Systemen enthalten, auf denen Windows 95, 98 oder ME installiert ist.

Zusätzlich kopiert er sich in den Windows-Ordner noch unter einem Dateinamen mit zufällig gewählten Zeichen, zum Beispiel AYDJSSKJ.EXE.

Die Datei "scandisk.exe" trägt der Wurm in diesen Registry-Schlüssel ein, um sicherzustellen, dass er bei jedem Systemstart automatisch geladen wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"ScanDisk" = "%WinDir%\SCANDISK.EXE"

Nun versucht der Wurm, Prozesse bzw. im Hintergrund geladene Programme zu beenden, die er (vom Namen her) für Virenscanner hält. Ebenso macht er sich in diesem Zweig an Registry-Einträgen zu schaffen, die zu Antivirus-Programmen gehören könnten:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD

Sobald eine Internet-Verbindung besteht, durchsucht er das Windows Adressbuch (*.wab), welches meist von Outlook Express verwendet wird, und alle Dateien mit den Endungen .eml, .htm und .dbx nach E-Mail-Adressen. An die gefundenen Adressen verschickt er sich dann mit den oben erwähnten Eigenschaften. Einige der Mails machen sich eine ältere Sicherheitslücke zu Nutze, die schon von früheren weit verbreiteten Viren benutzt wurde: Wird eine Mail entsprechend gestaltet, bewirkt diese so genannte IFRAME Sicherheitslücke, dass Outlook oder Outlook Express eine Mailbeilage sofort ausführen, sobald der Empfänger die Mail liest. Systeme ab Internet Explorer Version 5.5 mit Service Pack 2 sollten jedoch bereits gegen diese eine Lücke geschützt sein.

Der Wurm zeigt ausserdem ein Virus-ähnliches Verhalten: So fügt er einigen bestehenden EXE- und SCR-Dateien seinen eigenen Programmcode hinzu. Führt der Benutzer eine dieser Dateien aus, bewirkt dieser Programmcode, dass die zweite Datei, die der Wurm im Windows-Ordner unter zufälligem Namen abgelegt hat, gestartet wird.

So schützen Sie sich: Pflegen Sie Ihr System mit regelmässigen Sicherheits-Updates (z.B. via Windows-Update). Öffnen Sie keine Mail-Beilagen, die Sie nicht explizit erwartet haben; auch wenn diese von Bekannten stammen. Aktualisieren Sie auch Ihren Virenscanner regelmässig, damit Ihr System bereits geschützt ist, bevor das erste Exemplar bei Ihnen eintrifft.

Die Beseitigung des Wurms gestaltet sich relativ schwierig, da auch der Registry-Editor (regedit.exe) angesteckt werden könnte. Falls Sie sicher sind, ein "Ganda-Problem" zu haben, müssten Sie erst die zweite Wurm-Kopie finden, was aber nicht so einfach ist, da diese einen zufällig generierten Dateinamen besitzt. Benutzer von Windows ME und Windows XP könnten zudem gezwungen sein, vorübergehend die Systemwiederherstellung zu deaktivieren, weil diese sonst den Wurm oder dessen Registry-Eintrag wiederherstellt.

Versuchen Sie es mal so (ohne Gewähr!): Besorgen Sie sich eine Diskette, auf welcher eine virenfreie Version der zu Ihrem System passenden Datei regedit.exe enthalten ist. Achten Sie darauf, dass die Diskette schreibgeschützt ist (wichtig!), damit die Datei nicht angesteckt werden kann. Legen Sie nun die Diskette ein und führen Sie die darauf enthaltene Version von regedit.exe durch einen Doppelklick aus. In diesem Schlüssel entfernen Sie den Eintrag, der auf "Scandisk" weist:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Starten Sie den PC neu, und zwar im abgesicherten Modus (wichtig!), damit keine überflüssigen Dateien geladen werden, die schon angesteckt sein könnten. Löschen Sie die Datei scandisk.exe, die direkt im Windows-Ordner liegt. Öffnen Sie nun per Windows Explorer Ihr Laufwerk C:. Klicken Sie mit Rechts auf den Windows-Ordner ("Windows" oder "WINNT") und wählen Sie "Suchen". Wählen Sie die "Erweiterten Optionen" und entfernen Sie das Häkchen bei "Unterordner durchsuchen". Tippen Sie als Suchbegriff *.exe ein und wählen Sie nun "Jetzt suchen" oder "Suche starten".

Sortieren Sie die gefundenen Dateien per Klick auf die Spaltentitel einmal nach Grösse und auch einmal nach Datum. Die Datei wird ungefähr 45 Kilobytes gross sein und trägt einen nichts sagenden Dateinamen, der meist auch nicht an typische Systemdatei-Namen erinnert. Wenn Sie nicht sowieso gerade kürzlich etwas installiert haben, könnten Sie den Übeltäter damit ausfindig machen: Die Datei wird schätzungsweise als letztes Änderungsdatum einen neueren Eintrag haben, z.B. Anfang oder Mitte März 2003 (oder neuer). Sollten Sie mehr als eine Datei im Verdacht haben, notieren Sie sich die Dateinamen und ändern Sie diese per Rechtsklick und "Umbenennen" z.B. von "DateinameAlt.exe" zu "DateinameAlt.vir". Falls die Dateiendungen nicht angezeigt werden, gehen Sie im Windows-Explorer zu "Extras/Ordneroptionen/Ansicht" und treiben Windows das Verstecken von Dateiendungen aus. Nun können Sie nur hoffen, die richtige Datei umbenannt zu haben.

Starten Sie Windows neu - diesmal im Normalmodus. Aktualisieren Sie Ihren Virenscanner via Internet und scannen Sie Ihre Festplatte (alle Dateien) nach Viren. Wichtig: Sie müssen wirklich dafür sorgen, dass Ihr Virenscanner alle Dateien scannt, insbesondere auch jene, die Sie vorhin umbenannt haben. Lassen Sie die als infiziert oder beschädigt angezeigten Dateien entfernen. Womöglich müssen Sie Ihren Virenscanner auch neu installieren, weil der Wurm ev. dessen Registry-Einträge verändert hat. Falls der Ganda-Wurm schon Windows-Dateien beschädigt hat, müssen Sie diese ab einem Backup oder ab Windows-Installations-CD-ROM wiederherstellen.

Sollte ein Antivirus-Hersteller eine zuverlässigere oder einfachere Beseitigungs-Methode gegen diesen Plagegeist finden, werden wir hier natürlich darüber berichten. Um Missverständnissen vorzubeugen: Falls ein Virenscanner rechtzeitig aktualisiert wird, erkennt und blockiert er den Wurm normalerweise schon bevor dieser das System überhaupt ansteckt.

Und nun zu den Infos einiger Antivirus-Hersteller:

F-Secure [1] kennt ihn schlicht als Ganda, bei Kaspersky heisst er I-Worm.Ganda [2], McAfee kennt ihn unter W32/Ganda@MM [3], Sophos unter W32/Ganda-A [4] und bei Symantec wird er unter dem Namen W32.Ganda.A@mm [5] geführt.