FRISK Software International

Summary of W32/Ganda.A@mm
Length: 45056
Infectable objects: EXE, SCR
Discovered: 17 Mar 2003
Risk Level: Low
Infection Method:Email message, File infector
Jump to:
Brief description
Technical description

Brief Description
W32/Ganda.A@mm is a mass mailing worm, that infects files that have .exe and .scr extensions with a loader for the worm, so that each time the infected files are executed, it runs a copy of the worm stored under the Windows directory. The loader is not able to spread in any way independently.

It creates a run key under

"ScanDisk" = "%WinDir%\SCANDISK.EXE"

which ensures that each time the computer is restarted the worm is executed.

Technical Description
W32/Ganda.A@mm is a mass mailing worm about 45KB in size.
It starts by copying it self to the Windows directory under the names:

????????.exe Where ? is a random letter

It creates the following registry key:

"ScanDisk" = "%WinDir%\SCANDISK.EXE"

When infecting files W32/Ganda.A@mm searches for every instance that the API call ExitProcess is called, it has at least 11 patterns that it recoqnizes . Then it patches every ExitProcess instance with a jump to the loader code that is located in the last section of the file. The loader code starts by getting the offsets of API calls that it needs, if that is unsuccessful it jumps to EndProcess without executing the worm part. It allocates memory for storing information where the windows system directory is kept. Then it executes the worm that is kept there. The name is different for every system infected. After the execution of the worm the loader calls ExitProcess and terminates. With this method the worm can be executed even though the registry has been cleaned.

W32/Ganda.A@mm keeps track of its mail distribution routines, first by creating the registry key [HKLM\Software\SS] adding subkeys with the name of sent which are incremented to reflect the number of successful mailing routines the worm completes.

W32/Ganda.A@mm searches for applications that contain the following strings in the names and tries to terminate them

trend micro

It Searches the Desktop and the "Start Up" Directory for lnk files and if they point to .exe or .scr files infectes them with the loader.

The worm waits for an internet connection from the infected computer, once it is detected the worm searches through the WAB (Windows Address book), the local harddrives present on the infected computer as well as the local cache, for .eml, *htm* and dbx files and tries to harvest e-mail addresses from those sources.

The actual mailing routine, starts by trying to connect to the default mail server used by the infected computer, if that connection isn't successfully completed the worm tries to connect to an external SMTP server with the address of "", through its own SMTP routine contained within the worms body.

At times e-mails sent by W32/Ganda.A@mm may contain the IFrame exploit, which is an old exploit that causes attachments to be automatically executed on old versions of the Microsoft Outlook / Outlook Express.

A patch for this vulnarability can be found here.

The worm has the ability to fake the "From:" address in e-mails sent by the worm, however this will only happen at times.

The attachments the worm sends with each infected message have a name of ??.scr, where ?? are random letters. The e-mail is either sent in english or swedish depending on the language settings on the infected machine. The message consist of items from the following list:

Subject: Screensaver advice.
Message body: Do you think this screensaver could be considered illegal? Would appreciate if you or any one of your friends could check it out and answer as soon as humanly possible. Thanx !

Subject: Spy pics.
Message body: Here's the screensaver i told you about. It contains pictures taken by one of the US spy satellites during one of it's missions over iraq. If you want more of these pic's you know where you can find me. Bye!

Subject: GO USA !!!!
Message body: This screensaver animates the star spangled banner. Please support the US administration in their fight against terror. Thanx a lot!

Subject: G.W Bush animation.
Message body: Here's the animation that the FBI wants to stop. Seems like the feds are trying to put an end to peoples right to say what they think of the US administration. Have fun!

Subject: Is USA a UFO?
Message body: Have a look at this screensaver, and then tell me that George.W Bush is not an alien. ;-)

Subject: Is USA always number one?
Message body: Some misguided people actually believe that an american life has a greater value than those of other nationalities. Just have a look at this pathetic screensaver and then you'll know what i'm talking about. All the best.

Subject: LINUX.
Message body: Are you a windows user who is curious about the linux environment? This screensaver gives you a preview of the KDE and GNOME desktops. What's more, LINUX is a free system, meaning anyone can download it.

Subject: Nazi propaganda?
Message body: This screensaver has been banned in Germany. It contains a number of animated symbols that can be related to the nazi culture. What do you think, is it a legitimate ban or not? Please answer asap. Thanx!

Subject: Catlover.
Message body: If you like cats you'll love this screensaver. It's four animated kittens running around on the screen. Contact me for more clipart. Have fun! ;-)

Subject: Disgusting propaganda.
Message body: Hello! My 12 year old doughter received this screensaver on a CDROM that was sent to her through advertising. I find it disturbing that children are now being targets of nazi organizations. I would appreciate to hear from you on this matter, as soon as possible. Thank you.

Subject: Olaglig_skärmsläckare?
Message body: Min son visade mig denna skärmsläckare som jag misstänker kan bryta mot lagen om hets mot folkgrupp. Eftersom du är verksam som jurist, så vore jag tacksam för en fackmans syn på saken. Tack på förhand.

Subject: Rashets eller inte?
Message body: Hejsan! Min datalärare gjorde mig uppmärksam på att denna skärmsläckare möjligen kan tänkas vara ett verk av rasister. Nu vet jag varken ut eller in, eftersom jag hade tänkt använda den på min skoldator. Bör jag att fortsätta att använda den? Svara helst = snarast.Tack på förhand.

Subject: Hakkors.
Message body: Min klassföreståndare gick i taket när hon fick se skärmsläckaren som jag har använt under två terminer. Hon anklagade mig för antisemitism eftersom den ibland visar ett hakkors.Tycker du att jag bör acceptera detta från henne? Vore tacksam för ett utlåtande från dig. Svara helst så snart det går.

Subject: Suspekta semaforer.
Message body: I skolan hittade jag en CD skiva som innehöll bl.a denna skärmsläckare. En lärare som råkade kasta ett öga på den avfärdade dess innehåll som ren rasistisk propaganda. Själv tycker jag inte att det är något att orda om. Vore tacksam för din uppfattning. Tack på förhand.

Subject: Avskyvärd_reklam.
Message body: Min minderårige son fick denna skärmsläckare på en CD skiva via ett massutskick av reklam. Jag upprörs över det sätt på vilket rasistiska och nazistiska propagandister tillåts förmedla sin avskyvärda ideology till barn. Jag överväger nu att polisanmäla detta tilltag så snart du, i egenskap av juridisk fackman, delgett mig din åsikt. Tack på förhand.

Subject: Överviktiga_förnedras.å
Message body: Hejsan ! Jag överväger att polisanmäla denna skärmsläckare. Jag anser att den har en nedlåtande attityd gentemot överviktiga personer. Jag skulle bli ytterst tacksam om du kunde bidra med din syn på saken. Tack på förhand.

Subject: Go ack ack ack....
Message body: Hej igen! Den här skärmsläckaren verkar vara en amerikansk parodi på något som svenskarna gör på midsommar. Skratta inte ihjäl dig bara. :-)

Subject: Är_USA_ett_UFO?
Message body: Hej igen! Här är skärmsläckare nummer 4. Kolla in den och tala sedan om för mig att George W Bush INTE är en rymdvarelse. ;-)

Subject: Korkad president
Message body: Hej igen! Här är skärmsläckaren som jag snackade om. George W Bush verkar inte vara allför bright om man ska tro brittiska komiker. :-)

Subject: Katt, hund, kanin.
Message body: Hej igen! Om du gillar djur så måste denna skärmsläckare vara nå't för dig. Mjau, Voff, Arf Arf.... ;-)

A part of the worms mailing routine consist of sending the following message body to the group of email addresses listed below

Message body: Härnösand 03.03 Detta brev är egentligen avsett för skolverket, men eftersom sverige styrs av massmedia så valde jag att även skicka det till ett antal journalister. Jag har under 8 års tid stängts ute från utbildning, och därigenom också från arbete i mitt eget land, enbart pga att lärarna vägrar att respektera mina svårigheter att framföra s.k muntliga redovisningar. Insikten om hur en hel lärarkår tillåts avfärda och vägra en människa dess medborgerliga och demokratiska rättigheter i form av utbildning gör mig spyfärdig! Det talas vitt och brett om hur demokratiskt sverige är, men individer som jag tycks inte omfattas av dessa ädla demokratiska värderingar. Vidare så förefaller det som om de personer som utgör sveriges lärarkår tycks besitta övernaturliga krafter som gör att de kan tala om för mig vad jag klarar och inte klarar. Hur enkelt och genomförbart vore det inte att, istället för att argumentera, istället göra ett smärre undantag och tilldela mig en uppgift av skriftlig karaktär i stället för den muntliga? Trots att ett sådant avsteg från lärarens älskade kursplan sannolikt inte skulle ses med blida ögon av andra elever, så skulle det i alla fall ge mig en chans att bevisa mina kunskaper inför högskolestudier. Det verkar som om många lärare premierar egenskapen egoism framför altruism. Om man ber om ett skriftligt alternativ till muntlig redovisning, så blir man bemött med argumentet att man måste bevisa sina kunskaper med betyg för att en högskola överhuvudtaget ska beakta ens ansökan. Lärare generellt uppfattar alltså sådana önskemål som ett försök från eleven att slippa göra rätt för sig. Vad det handlar om är att få förståelse för sina personliga svagheter. RESPEKT för helvete! Hur svårt ska det vara att fatta att alla människor inte är likadana?! Kan någon förklara rättvisan i att vissa personer ges ett visst tillträde till högskolestudier via erfarenhet i arbetslivet, medan personer med mina personliga svagheter bemöts med argumentet att jag måste bevisa mina förkunskaper med betyg? Jag betvivlar starkt att man erhåller dessa erforderliga förkunskaper genom att t.ex arbeta med att sopa gatan under ett antal år. Det verkar vara ett taskigt underbyggt svepskäl för för att kunna utestänga oönskade individer i min situation från utbildning. Jag kan inte göra annat än att le åt den enfald som de ansvariga för dessa regler visar. Mitt utbildningsmål är att kunna försörja mig som programmerare, vilket är ett yrkesområde som inte främst består av muntliga presentationer. Varför är det då så jävla farligt att låta mig byta den tyngsta muntliga delen av undervisningen mot en ekvivalent skriftlig? Måhända att lärarens prestige kan lida allvarlig skada av att en elev önskar bryta mot dennes älskade kursplan? Jag håller det inte alltför osannolikt att jag hamnar på gatan eftersom man inte kan leva utan vare sig utbildning eller arbete. Och eftersom mina möjligheter att skapa mig en ekonomi har eliminerats pga lärarnas prestige, så kan jag inte heller lämna landet om nu någon löjlig svensson skulle föreslå det. Blir någon förvånad om jag, efter att ha tvingats vara utan inkomst i åtta år, uppfattar sverige som något annat än ett - för personer som mig - rättslöst, åsiktsregistrerande, samt skendemokratiskt träsk i vilket icke felfria personer förklaras som ej önskvärda? Varför förväntas man egentligen följa systemets regler när man ändå inte tillåts ta del av sina medborgerliga rättigheter? Med detta brev förväntar jag mig inte någon särdeles kraftfull indignation över hur jag anser mig ha blivit behandlad. tminstone inte från någon lärare. Det är ju trots allt bara mitt liv som blivit förstört, och inte ditt (som tur är). Jag tycker inte att mina anspråk är särskilt märkvärdiga. Det enda jag begär är att få bevisa mina kunskaper på ett annat sätt än genom muntlig redovisning, inte minst därför att det är rimligt i mitt specifika fall. Varför ska inte jag ha rätt att skapa en ekonomi, och därigenom slippa belasta andras? Om någon kan ge mig några = konstruktiva råd om hur jag ska gå tillväga för att få betyg inför högskolestudier så tas dessa tacksamt emot på följande adress: Ev oseriösa råd kommer givetvis att besvaras på ett lika oseriöst sätt. Jag väljer att vara anonym a'la medelsvensson, eftersom jag med detta brev inte har för avsikt att riskera åtal eller säporegistrering för att ha nyttjat den s.k yttrandefriheten till att ha yttrat "fel" åsikter. Mvh, från en ofrivilligt outbildad och arbetslös paria från välfärdens och demokratins Härnösand.

The W32/Ganda.A@mm also contains the following strings.

"[WORM.SWEDENSUX] Coded by Uncle Roger in Härnösand, Sweden, I am being discriminated by the swedish schoolsystem. This is a response to eight long years of discrimination."
"I support animal-liberators worldwide."

Analysis / Description: Ragnar Gisli & Sigurdur A. Stefnisson FRISK Software international

Stay up to date with important developments via e-mail.
Stay up to date with life cycle policies for F-PROT Antivirus for Windows.
Virus news and information directly to your desktop.
Definitions of common antivirus terminology.
For further virus information, please try our partners' websites:


perComp Verlag
(in German)