Home / malware Worm:Win32/Banwarum.C@mm
First posted on 20 January 2012.
Source: MicrosoftAliases :
Worm:Win32/Banwarum.C@mm is also known as Dropper/Zasran.50176 (AhnLab), W32/Zasran.D (Command), I-Worm/Zasran.E (AVG), Win32.Worm.Banwarum.A (BitDefender), Win32/Banwarum.E (ESET), Email-Worm.Win32.Banwarum.e (Kaspersky), W32/Banwarum@MM (McAfee), W32/Banwarum.D@mm (Norman), W32/Banwarum.C.worm (Panda), W32/Banwar-G (Sophos), W32.Banwarum@mm (Symantec), WORM_RANCHNEG.A (Trend Micro), I-Worm.Banwarum.D (VirusBuster).
Explanation :
Worm:Win32/Banwarum.C@mm is a mass-mailing worm that targets computers running certain versions of Microsoft Windows. The worm sends itself to e-mail addresses that it finds on the infected computer. The worm is activated when a user opens an e-mail attachment that contains the worm.
Top
Worm:Win32/Banwarum.C@mm is a mass-mailing worm that targets computers running certain versions of Windows. The worm sends itself to e-mail addresses that it finds on the infected computer. The worm is activated when a user opens an e-mail attachment that contains the worm.
Installation When run, Worm:Win32/Banwarum.C@mm drops a copy of itself into the Windows system folder as 'mszsrn32.dll'. It then registers itself to run as a service at each Windowsstart.
In subkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
Sets value: "mszsrn32"< br/>
In subkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify\mszsrn32
Sets value: "DllName"
With data: "<system folder>\mszsrn32.dll"
Sets value: "Startup"
With data: "Startup"
Sets value: "Asynchronous"
With data: "dword:00000001"
Sets value: "Impersonate"
With data: "dword:00000000"
Sets value: "Type"
With data: "dword:00000002"
Spreads Via€¦
Mass-Mailing Routine
Worm:Win32/Banwarum.C@mm gathers e-mail addresses from data files with the following file extensions:
.adb
.asa
.asc
.asm
.asp
.cgi
.con
.csp
.csv
.dbx
.dlt
.doc
.dwt
.edm
.hta
.htc
.htm
.htm
.inc
.jsp
.jst
.lbi
.php
.rdf
.rss
.sht
.ssi
.stm
.tbb
.tbi
.txt
.vbp
.vbs
.wab
.wml
.xht
.xls
.xml
.xsd
.xst
Of the e-mail addresses collected, the worm discards addresses containing any of the following strings:
.arpa
.gov
.mil
abuse
admin
avp.
berkeley
borland.com
bsd.it
bugs
cisco
contact
debian
drweb.
fido
gnu.org
help
iana.
ibm.com
info
kaspersky
linux
microsoft.com
php.net
postmaster
privacy
rating
register
ripe.
root
sales
secure
service
site
soft
sophos
sun.com
support
virus
web
webmaster
xinul.com
Worm:Win32/Banwarum.C@mm composes e-mails with varying properties as mentioned below:
The worm selects a 'Subject' picked at random from one of the following:
1000 Euro von der Postbank
Abbild-Der-Rechnung
akte
Anhang
Anhang-Tickets
anklage
Anklage-Material
anklageschrift
Anzeige
Anzeige ist erstatet
archiv
Auszahlungen
bank-kontoauszuge
bescheinigung
Betrueg bitte deine Frau mit mir!
beweise
Bitte stoppen Sie es
<removed> eine <removed> und gewinne WM-Karten!
<removed> mein <removed>!
BundesKriminalAmt
Das Geld das nicht mir gehoert
Desktop
Du bist mein <removed>!
Du machst mich so <removed>!
Du <removed>!
Ermittlungsverfahren wurde eingeleitet
Es ist AUS!
Es ist ein Missverstaendnis geschehen
Es leuft mir schon das bein <removed>!
Falscher Adressant
Falschueberweisung
Fasches Bankkonto
<removed> mein <removed>!
<removed>e meine <removed>!
Geld
Geld von Postbank
Geldueberweisungen
Gewonnen? GeWONNEN!
Guten Tag! Hier sind ihre WM Tickets!
Hallo!
Hoer auf damit!
Holen sie jetzt ihre WM Tickets ab!
Holen sie sich WM Tickets fuer das Finalle JETZT!
Ich bin <removed>?
Ich hab die neuen Fotos Fertig!
Ich hab ihr Geld.
Ich habe Geld von ihren Postbank Konto bekommen
Ich <removed> bitte <removed> mich!
Ich liebe dich!
Ich zeige dich an!
Ich Zeige sie an!
Ihr Geld
Ihre Akte!
Ihre Auszahlungen an mich
Ihre IP wurde geloggt!
ihre_akte
IhrEnde
JehhuuuU! WWWMMMM!!
Komme mit!
Kontoauszug
Kopien
Lass dich <removed>! Nur ab 18 Jahren!
Missueberweisungen
Neuer Ordner
New Folder
Nimm <removed> mein <removed>!
Postbank
Postbank
Postbank Ueberweisungen
Postbank-Ueberweisungen
Rechnung
Rechnung-Anhang
Sie besitzen Raubkopien
Sie betrueger!
Sie haben WM Tickets gewonnen!
Sie kommen ins Knast!
Tickets
<removed> mit einer schlampe!
Uberweisungen
Ueberweisung
Ueberweisung an einen falschen Adressanten
<removed>mein <removed>ab 18 Jahren!
vorladung
Warum machst du das?
Warum schicken sie mir Geld?
Weltmeisterschaft
Weltmeisterschaft!
WM Tickets!
WM-Anhang
WM-Tickets
The body text is selected at random from one of the following sets, where <password> is a password required to open the attached archive file, which contains a copy of the worm:
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und
somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass
Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner
wurde als Beweismittel sichergestellt und es wird ein
Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird
Ihnen in den naechsten Tagen schriftlich zugestellt.
Aktenzeichen NR.:
(siehe Anhang)
ACHTUNG: der Anhang ist Password geschuetzt
der Password fuer den Anhang (ihre Akte)
lautet:
<password>
bitte vergessen sie ihn nicht
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0
Guten Tag sehr geehrte Damen und Herren!
Meine Web-Site zeichnete Angriffe von ihrer IP Auf
Ich habe mich bei T-Com beschwert und ihre Email bekommen
bitte unterlassen sie alle angriffe auf meine Web-Site
die Anzeige ist erstatet! Die anklage schrift hab ich der Email beigefuegt.
Password fuer die Anklageschrift lautet:
<password>
mfg
Karl Stein
Tina es ist schluss!
Unterlasse es mir die fotos zu schicken
wir sind nicht mehr zusammen und ich will dich
nicht mehr nackt sehen!
Ich habe dich Angezeigt weil das einfach zu weit geht tut mir leid!
Deine Fotos und die Kopie der Anzeige hab ich in der Email beigefuegt!
damit deine Intimen fotos keiner sieht hab ich einen password rauf gemacht
das password ist dein Name:
<password>
schreib nicht zurueck
Alexei
Sehr geehrte Frau Tisha
das Zuspammen von meiner Email mir ihren nacktfotos
bleibt nicht unbemerkt.
Heute Morgen erstattete ich eine Anzeige bei der BKA Wiesbaden!
Meinen Anwahlt wurde die sache uebergeben!
Ich moechte mit ihnen nicht zu tunn haben und ihre Nacktfotos
schick ich ihnen mit der Anklageschrift zurueck!
Die fotos und das schreiben hab ich der Email beigefuegt,
dass password lautet:
<password>
Bitte keine Fotos und Emails mehr
mfg
Kresen
Warum drohen sie mir hab ich ihnen was getann?
Ich wusste schon lange das Schwarze nicht erweunscht sind!
Ich habe sie bei der Polizei angezeigt sie werden sich um sie kuemern
ich habe der email einen Anhang beigefuergt da drinne ist eine Kopie
der Anzeige
das password fuer die Anzeige lautet:
<password>
mfg
Ublaskar
Wir werden sehen ich sperre mich ein!
Sie drohen mir das sie mich aufschlitzen wollen?
Ich habe sie gestern Angeziegt und stehe unter Polizei schutz!
Hier die letzte mahnung hab ich der Email beigefuegt!
das Password lautet:
<password>
Werner Blass
Die nacktfotos die ich von ihnen bekamm leitete ich an das Kriminal Amt weiter!
Das ist Sexuelle belastigung!
Sie bekommen eine Anzeige und eine geldschtraffe
melden sie sich in den naexten tagen bei der <removed>lzei!
Die vorladung und die Fotos als beweis hab ich der Email beigefuegt
das password ist :
<password>
Emilion Volks
Hi <removed> ich schreib aus den Inet cafe in Muenchen
meine neuen Fotos sind fertig und ich vermisse dich!
Die fotos sind gut geweorden ich hab das alles nur dier zuliebe getann
und das weisst du!
Die Fotos hab ich der Email beigefuegt ich hoffe du bist zufrieden
ah ja und damit sie keiner ausser die oefnet hab ich ein password
drauf gemacht das password ist mein name also:
<password>
Mit liebe Monica
Hi <removed> ich bin so <removed> das ich nicht mehr kann
hier ein paar fotos <removed>!
das password fuer die fotos ist:
<password>
Gruesse Monica
<removed>
<removed>
was meinst du?
Guck dir meine Fotos an und sag bescheid!
das Password fuer die fotos ist:
<password>
<removed>en gruss
Tina
Oh BABY!!!
<removed>
<removed>
<removed>
habe dir paar neue mitgeschickt
das password ist:
<password>
bye bye
Ja ich bin deine HERRIN
<removed>
<removed>
<removed>
Guck dir meine fotos an du wirst schon lust bekommen
das password fuer die pics ist:
<password>
cya dein bussi
Hi honey
wie findest du eigendlich das das deine Schwester so <removed>?
ich mag sie voll gerne aber sie hat Robert <removed>
und Tina hat das mit der kamera aufgenommen
es ist deine sache ob du das deinen Eltern zeigst aber das video schick ich dir
das password dafuer ist :
<password>
Alles liebe
Warum betruegst du Albert?
Ich hab mir dir geschlafen und habe alles getann was du wolltest und du
du <removed> meine schwester wo ich Zwei tage zu Mama wegfahre?
Du bist der <removed> und es ist vorbei!
das video hat mir Tina geschickt wo du mit ihr <removed> hast und wie ihr das aufgenommen habt
das ist das Beweis und du wirst es noch sehen!
Das video schick ich mit der Email
das password was ich darauf gemacht habe ist:
<password>
<removed> dich
Helena
Hallo Albert
Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du
mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen!
Die fotos sind mit der emial
das password hab ich raufgemacht es lautet:
<password>
Willst du WM tickets gewinnen?
Dann sende uns eine ausgefueltte kopie des Geweinnzettel und wir schicken dir
2 Tickets fuer das Finalle!
Der geweinnzettel ist beigefuegt!
Ihr persoenliches password lautet:
<password>
Ihr WM Team
Sehr geehrte Damen und Herren,
vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen und ich wuerde sie gern Fragen wie es dazu kam.
Iich danke Ihnen, aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne Sie nicht und Sie kennen mich nicht.
Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet 035/98276590
Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich aus versehentlichen Gruenden ein Password darauf gelegt, er lautet
<password>
Mit Freundlichen Gruessen
Manfred Schmidt
Sehr geehrte Damen und Herren,
seit Gestern bekomme ich andauernt Geld von Ihnen, ich danke sehr, aber ich glaube es ist ein Fehler unterlaufen.
Ich habe ein Konto bei der Postbank und es lautet 48756830000443 Bankleitzahl: 94775775
Bitte ueberpruefen Sie ihre Auszahlungen und rufen sie mich unter folgender
Nummer an 056/48576887 damit wir besprechen koennen wie ich Ihr Geld zurueckzahlen koennte.
In dem Anhang habe ich eine Kopie der Ueberweisung gemacht, Kennwort fuer das Archiv lautet
<password>
Mit freundlichen Gruessen
Mattias Botcher
Sehr geehrte Damen und Herren,
warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
Password dafuer lautet
<password>
Mit freundlichen Gruessen
Gerhard Meyer
Sehr geehrte Damen und Herren,
ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden.
Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.
In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet
<password>
Mit freundlichen Gruessen
Ingrid Behnke
Sehr geehrte Damen und Herren,
ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken.
Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.
Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet
<password>
Mit freundlichen Gruessen
Anne Flachman
Hi,
thx das du Geld an mich schicks, aber kannste damit auf hoeren?
Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password:
<password>
mfg Henry
Hallo,
sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine <removed>sdbank Account.
Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
Hier eine Anhang mit der Ueberweisung. Password dafuer lautete
<password>
Have a nice day
John Walthers
Sehr geehrte Damen und Herren,
wir laden Sie rechtherzlich zu unseren
Gewinne WM Tickets
Aktion. Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen.
Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.
Das Kennwort fuer den Formular lautet
<password>
Herzlichen Dank
Bathe Maune
Sehr geehrte Damen und Herren,
Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei!
Verpassen Sie ihre einmalige Chance nicht!
Anhangspassword:
<password>
Mit freundlichen Gruessen
Lotto-GDI GmbH
Hi, du hast mich mal bei irgendeinem Online-Dating, ich hab gesagt du bist haesslich und geblockt, Sorry,..
Du bist nicht haesslich, ich war einfach mies drauf. Ich will es wiedergut machen, lade dich damit zu WM, Tickets habe ich ins Attach gelegt,
entpacke es und druecks aus. Password fuer den Archiv lautet
<password>
mfg Nadine
Hi man,
ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache.
Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
Password zu dem Archiv lautet
<password>
Mfg Niemand
Sehr geehrte Damen und Herren,
Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem Ultimativen Ticket koennen sie so viele wie sie wollen zu dem WM Spiel einladen!
Alles was sie zu machen brauchen ist diesen einen Anhang entpacken und ihre Unterschriften darauf schreiben. Das Kennwort fuer den Anhang lautet
<password>
Mit freundlichen Gruessen
WM
Free Tickets Organisation (kurz gesch. WMFTO)
Sehr geehrte Damen und Herren,
ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie gekauft, aber wie es sich rausstellte koennen wir wegen politischen
Hintergrunden nicht an WM teilnehmen. Deswegen bekommen sie es jetzt. Brauchen sie jetzt nicht zu danken, denn wenn sie jetzt diesen Brief lesen,
sind wir schon in einem anderen Land.
Die Tickets koennen Sie an der Siemens Rezeption abholen, hierzu benoetigte Adresse Habichstra?e 356, Koeln.
Wir wuenschen ihnen von der ganzen Familie gutes Spiel.
In dem Anhang haben sie ein Foto von den Tickets, Password fuer den Archiv lautet
<password>
Mit freundlichen Gruessen
Salim Heraldulkalam
Sehr geehrte Damen und Herren,
danke das Sie bei unserer Lotterie mitgemacht haben, und wir wollen sie damit benachrichtigen, dass Sie GEWONNEN HABT!
Alles was jetzt noch zu machen ist, schnell die Tickets ausfuellen und zu WM gehen!
Dateianhangspassword:
<password>
Mit freundlichen Gruessen
Lotterie-NOD GmbH
The worm attachment may have any of the following file names:
mypics
meinbild
bild01
reklament
sexy
free_pics
free_videos
It attempts to use one of the following applications to compress the attachment as an archive:
7-Zip
WinRAR
WinAce
Payload
Backdoor Functionality
This worm may connect to one of the following remote Web sites to receive commands from an attacker:
7stick.biz
olania.net
olania.com
7stick.info
brancholania.net
brancholania.biz
frachetto.com
frachetto.info
5dime.net
monti2.com
Last update 20 January 2012
