Name:Worm/Renchneg.B.DLL
Entdeckt am:25/05/2006
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:49.756 Bytes
MD5 Prüfsumme:e78755206af1d523a79a0510e3106708
VDF Version:6.34.01.136
IVDF Version:6.34.01.141 - Freitag, 26. Mai 2006

 Allgemein Verbreitungsmethode:
   • Email
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Banwarum@mm
   •  Mcafee: W32/Banwarum@MM
   •  Kaspersky: Email-Worm.Win32.Banwarum.c
   •  TrendMicro: WORM_RANCHNEG.A
   •  VirusBuster: I-Worm.Barwarum.C
   •  Eset: Win32/Banwarum.C
   •  Bitdefender: Win32.Zasra.B


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt eine potentiell gefährliche Datei
   • Verfügt über eigene Email Engine
   • Änderung an der Registry
   • Macht sich Software Verwundbarkeit zu nutzen
   • Stiehlt Informationen
   • Ermöglicht unbefugten Zugriff auf den Computer

 Dateien Es wird folgende Datei erstellt:

%SYSDIR%\mszsrn32.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: Worm/Banwarum.E.1

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   mszsrn32
   • "DllName"="%SYSDIR%\mszsrn32.dll"
   • "Startup"="Startup"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000000
   • "Type"=dword:00000002
   • "SystemId"=dword:121d41eb

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Eine der folgenden:
   • Anzeige ist erstatet; BundesKriminalAmt; Ermittlungsverfahren wurde
      eingeleitet; Es ist AUS!; Gewonnen? GeWONNEN!; Guten Tag! Hier sind
      ihre WM Tickets!; Hallo!; Hoer auf damit!; Holen sie jetzt ihre WM
      Tickets ab!; Holen sie sich WM Tickets fuer das Finalle JETZT!; Ich
      zeige dich an!; Ich Zeige sie an!; Ihre Akte!; Ihre IP wurde geloggt!;
      JehhuuuU! WWWMMMM!!; Komme mit!; Sie besitzen Raubkopien; Sie
      betrueger!; Sie haben WM Tickets gewonnen!; Sie kommen ins Knast!;
      Warum machst du das?; Weltmeisterschaft!; WM Tickets!



Body:
Der Body der Email ist einer der folgenden:

   • Sehr geehrte Damen und Herren,
     
     vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen und ich wuerde sie gern Fragen wie es dazu kam. Iich danke Ihnen, aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne Sie nicht und Sie kennen mich nicht.
     
     Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet 035/98276590
     
     Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich aus versehentlichen Gruenden ein Password darauf gelegt, er lautet %zufällige Buchstabenkombination%
     
     Mit Freundlichen Gruessen
     Manfred Schmidt

   • Sehr geehrte Damen und Herren,
     
     warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
     Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
     
     In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
     Password dafuer lautet %zufällige Buchstabenkombination%
     
     Mit freundlichen Gruessen
     Gerhard Meyer

   • Sehr geehrte Damen und Herren,
     
     ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden. Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.
     
     In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet %zufällige Buchstabenkombination%
     
     Mit freundlichen Gruessen
     Ingrid Behnke

   • Sehr geehrte Damen und Herren,
     
     ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken. Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.
     
     Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet %zufällige Buchstabenkombination%
     
     Mit freundlichen Gruessen
     
     Anne Flachman

   • Hi,
     
     thx das du Geld an mich schicks, aber kannste damit auf hoeren?
     
     Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: %zufällige Buchstabenkombination%
     
     mfg Henry

   • Hallo,
     
     sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine Posdbank Account. Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
     
     Hier eine Anhang mit der Ueberweisung. Password dafuer lautete %zufällige Buchstabenkombination%
     
     Have a nice day
     John Walthers

   • Sehr geehrte Damen und Herren,
     
     wir laden Sie rechtherzlich zu unseren «Gewinne WM Tickets» Aktion. Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen. Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.
     
     Das Kennwort fuer den Formular lautet %zufällige Buchstabenkombination%
     
     Herzlichen Dank
     Bathe Maune

   • Sehr geehrte Damen und Herren,
     
     Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei! Verpassen Sie ihre einmalige Chance nicht!
     
     Anhangspassword: %zufällige Buchstabenkombination%
     
     Mit freundlichen Gruessen
     Lotto-GDI GmbH

   • Hi man,
     
     ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
     
     Password zu dem Archiv lautet %zufällige Buchstabenkombination%
     
     Mfg Niemand ;)

   • Hi sexgott ich bin so geil das ich nicht mehr kann
     
     hier ein paar fotos wie ich grade abgehe!
     
     das password fuer die fotos ist: %zufällige Buchstabenkombination%
     
     Gruesse Monica

   • Oh BABY!!!
     
     Ich bin so geil bitte fick mich
     
     meine muschi leuft aus ich will dich o bitte bitttte.........
     
     hofffendlich bist du auch Geil wenn du meine Pics siehst :P
     
     habe dir paar neue mitgeschickt
     
     das password ist: %zufällige Buchstabenkombination%
     
     bye bye

   • Sehr geehrte Damen und Herren,
     
     warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
     Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
     
     In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
     Password dafuer lautet %zufällige Buchstabenkombination%
     
     Mit freundlichen Gruessen
     Gerhard Meye

   • Hi,
     
     thx das du Geld an mich schicks, aber kannste damit auf hoeren?
     
     Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: %zufällige Buchstabenkombination%
     
     mfg Henry

   • Sehr geehrte Damen und Herren,
     
     Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei! Verpassen Sie ihre einmalige Chance nicht!
     
     Anhangspassword: %zufällige Buchstabenkombination%
     
     Mit freundlichen Gruessen
     Lotto-GDI GmbH

   • Hi man,
     
     ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
     
     Password zu dem Archiv lautet %zufällige Buchstabenkombination%
     
     Mfg Niemand ;)

   • Hallo Albert
     
     Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen! Die fotos sind mit der emial
     
     das password hab ich raufgemacht es lautet: %zufällige Buchstabenkombination%

   • Sehr geehrte Dame, sehr geehrter Herr,
     
     das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
     
     Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
     
     Aktenzeichen NR.:
      (siehe Anhang)
     
     ACHTUNG: der Anhang ist Password geschuetzt
     
     der Password fuer den Anhang (ihre Akte)
     
     lautet: %zufällige Buchstabenkombination%
     
     bitte vergessen sie ihn nicht
     
     Hochachtungsvoll
     
     i.A. Juergen Stock
     
     --- Bundeskriminalamt BKA
     --- Referat LS 2
     --- 65173 Wiesbaden
     --- Tel.: +49 (0)611 - 55 - 12331 oder
     --- Tel.: +49 (0)611 - 55 - 0


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • Abbild-Der-Rechnung.zip; akte.zip; Anhang.zip; Anhang-Tickets.zip;
      anklage.zip; Anklage-Material.zip; anklageschrift.zip; Anzeige.zip;
      archiv.zip; bescheinigung.zip; beweise.zip; bild01.zip; Desktop.zip;
      fick_mich.zip; fickmich.zip; fotze.zip; free_pics.zip;
      free_videos.zip; geil.zip; ich_lauf_aus.zip; ichbingeil.zip;
      ihre_akte.zip; IhrEnde.zip; Kontoauszug.zip; Kopien.zip; meinbild.zip;
      meine_moese.zip; mypics.zip; New Folder.zip; Rechnung.zip;
      Rechnung-Anhang.zip; reklament.zip; sexy.zip; Tickets.zip;
      Ueberweisung.zip; Weltmeisterschaft.zip; WM.zip; WM-Anhang.zip;
      WM-Tickets.zip; vorladung.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.



Die Email sieht wie folgt aus:


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .wab; .tbb; .tbi; .doc; .xls; .txt; .csv; .htm; .html; .xml; .adb;
      .asa; .asc; .asm; .asp; .cgi; .con; .csp; .dbx; .dlt; .dwt; .edm;
      .hta; .htc; .inc; .jsp; .jst; .lbi; .php; .rdf; .rss; .sht; .ssi;
      .stm; .vbp; .vbs; .wml; .xht; .xsd; .xst


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • admin; info; support; soft; webmaster; help; web; postmaster; root;
      bugs; rating; site; contact; privacy; serviceabuse; register; sales;
      cisco; gnu.org; bsd.it; debian; linux; berkeley; google; fido;
      ibm.com; microsoft.com; php.net; .mil; .gov; borland.com; sun.com;
      xinul.com; virus; kaspersky; sophos; ripe.; iana.; drweb.; secure;
      avp.; .arpa

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Exploit:
Folgende Sicherheitslücke wird ausgenutzt:
– MS04-007 (ASN.1 Vulnerability)


IP Adressen Erzeugung:
Es werden zufällige IP Adressen generiert wobei die ersten beiden Zahlen die der eigenen Addresse sind. Es wird dann versuche eine Verbindung mit diesen Adressen aufzubauen.

 Hintertür Der folgende Port wird geöffnet:

%SYSDIR%\winlogon.exe an einem zufälligen TCP port um einen HTTP Server zur Verfügung zu stellen.


Kontaktiert Server:
Alle der folgenden:
   • 5d**********.net/mmm/register.php?
   • 7st**********.biz/mmm/register.php?
   • 7stick.info/mmm/register.php?
   • branch**********.biz/mmm/register.php?
   • branch**********.net/mmm/register.php?
   • frach**********.com/mmm/register.php?
   • frach**********.info/mmm/register.php?
   • mon**********.com/mmm/register.php?
   • ola**********.com/mmm/register.php?
   • ola**********.net/mmm/register.php?

Hierdurch können Informationen gesendet werden. Dies geschieht mittels einer HTTP GET Anfrage an ein PHP Script.


Sende Informationen über:
    • Arbeitszeit der Malware
    • Information über das Windows Betriebsystem

 Injektion –  Es injiziert folgende Datei in einen Prozess: %SYSDIR%\mszsrn32.dll

    Prozessname:
   • winlogon.exe


Die Beschreibung wurde erstellt von Irina Boldea am Montag, 31. Juli 2006
Die Beschreibung wurde geändert von Irina Boldea am Montag, 31. Juli 2006

zurück . . . .