Need help? Ask the community or hire an expert.
Go to Avira Answers
Virus:Worm/Banwarum.E
Date discovered:28/05/2006
Type:Worm
In the wild:Yes
Reported Infections:Low
Distribution Potential:Medium to high
Damage Potential:Medium
Static file:Yes
File size:50.176 Bytes
MD5 checksum:de42073eff6b9b12313915ad12c13bdb
VDF version:6.34.01.149
IVDF version:6.34.01.154 - Monday, May 29, 2006

 General Method of propagation:
   • Email
   • Local network


Aliases:
   •  Symantec: W32.Banwarum@mm
   •  Mcafee: W32/Banwarum@MM
   •  Kaspersky: Email-Worm.Win32.Banwarum.e
   •  TrendMicro: WORM_RANCHNEG.A
   •  VirusBuster: I-Worm.Banwarum.D
   •  Eset: Win32/Banwarum.E
   •  Bitdefender: Win32.Worm.Banwarum.A


Platforms / OS:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Drops a malicious file
   • Uses its own Email engine
   • Registry modification
   • Makes use of software vulnerability
   • Steals information
   • Third party control

 Files The following file is created:

%SYSDIR%\mszsrn32.dll Further investigation pointed out that this file is malware, too. Detected as: Worm/Banwarum.E.1

 Registry The following registry key is added in order to run the process after reboot:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   mszsrn32
   • "DllName"="%SYSDIR%\mszsrn32.dll"
   • "Startup"="Startup"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000000
   • "Type"=dword:00000002
   • "SystemId"=dword:121d41eb

 Email It contains an integrated SMTP engine in order to send emails. A direct connection with the destination server will be established. The characteristics are described in the following:


From:
The sender address is spoofed.


To:
– Email addresses found in specific files on the system.
 Email addresses gathered from WAB (Windows Address Book)


Subject:
One of the following:
   • Anzeige ist erstatet; BundesKriminalAmt; Ermittlungsverfahren wurde
      eingeleitet; Es ist AUS!; Gewonnen? GeWONNEN!; Guten Tag! Hier sind
      ihre WM Tickets!; Hallo!; Hoer auf damit!; Holen sie jetzt ihre WM
      Tickets ab!; Holen sie sich WM Tickets fuer das Finalle JETZT!; Ich
      zeige dich an!; Ich Zeige sie an!; Ihre Akte!; Ihre IP wurde geloggt!;
      JehhuuuU! WWWMMMM!!; Komme mit!; Sie besitzen Raubkopien; Sie
      betrueger!; Sie haben WM Tickets gewonnen!; Sie kommen ins Knast!;
      Warum machst du das?; Weltmeisterschaft!; WM Tickets!



Body:
The body of the email is one of the following:

   • Sehr geehrte Damen und Herren,
     
     vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen und ich wuerde sie gern Fragen wie es dazu kam. Iich danke Ihnen, aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne Sie nicht und Sie kennen mich nicht.
     
     Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet 035/98276590
     
     Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich aus versehentlichen Gruenden ein Password darauf gelegt, er lautet %random character string%
     
     Mit Freundlichen Gruessen
     Manfred Schmidt

   • Sehr geehrte Damen und Herren,
     
     warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
     Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
     
     In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
     Password dafuer lautet %random character string%
     
     Mit freundlichen Gruessen
     Gerhard Meyer

   • Sehr geehrte Damen und Herren,
     
     ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden. Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.
     
     In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet %random character string%
     
     Mit freundlichen Gruessen
     Ingrid Behnke

   • Sehr geehrte Damen und Herren,
     
     ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken. Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.
     
     Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet %random character string%
     
     Mit freundlichen Gruessen
     
     Anne Flachman

   • Hi,
     
     thx das du Geld an mich schicks, aber kannste damit auf hoeren?
     
     Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: %random character string%
     
     mfg Henry

   • Hallo,
     
     sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine Posdbank Account. Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
     
     Hier eine Anhang mit der Ueberweisung. Password dafuer lautete %random character string%
     
     Have a nice day
     John Walthers

   • Sehr geehrte Damen und Herren,
     
     wir laden Sie rechtherzlich zu unseren «Gewinne WM Tickets» Aktion. Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen. Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.
     
     Das Kennwort fuer den Formular lautet %random character string%
     
     Herzlichen Dank
     Bathe Maune

   • Sehr geehrte Damen und Herren,
     
     Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei! Verpassen Sie ihre einmalige Chance nicht!
     
     Anhangspassword: %random character string%
     
     Mit freundlichen Gruessen
     Lotto-GDI GmbH

   • Hi man,
     
     ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
     
     Password zu dem Archiv lautet %random character string%
     
     Mfg Niemand ;)

   • Hi sexgott ich bin so geil das ich nicht mehr kann
     
     hier ein paar fotos wie ich grade abgehe!
     
     das password fuer die fotos ist: %random character string%
     
     Gruesse Monica

   • Oh BABY!!!
     
     Ich bin so geil bitte fick mich
     
     meine muschi leuft aus ich will dich o bitte bitttte.........
     
     hofffendlich bist du auch Geil wenn du meine Pics siehst :P
     
     habe dir paar neue mitgeschickt
     
     das password ist: %random character string%
     
     bye bye

   • Sehr geehrte Damen und Herren,
     
     warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
     Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
     
     In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
     Password dafuer lautet %random character string%
     
     Mit freundlichen Gruessen
     Gerhard Meye

   • Hi,
     
     thx das du Geld an mich schicks, aber kannste damit auf hoeren?
     
     Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: %random character string%
     
     mfg Henry

   • Sehr geehrte Damen und Herren,
     
     Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei! Verpassen Sie ihre einmalige Chance nicht!
     
     Anhangspassword: %random character string%
     
     Mit freundlichen Gruessen
     Lotto-GDI GmbH

   • Hi man,
     
     ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
     
     Password zu dem Archiv lautet %random character string%
     
     Mfg Niemand ;)

   • Hallo Albert
     
     Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen! Die fotos sind mit der emial
     
     das password hab ich raufgemacht es lautet: %random character string%

   • Sehr geehrte Dame, sehr geehrter Herr,
     
     das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
     
     Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
     
     Aktenzeichen NR.:
      (siehe Anhang)
     
     ACHTUNG: der Anhang ist Password geschuetzt
     
     der Password fuer den Anhang (ihre Akte)
     
     lautet: %random character string%
     
     bitte vergessen sie ihn nicht
     
     Hochachtungsvoll
     
     i.A. Juergen Stock
     
     --- Bundeskriminalamt BKA
     --- Referat LS 2
     --- 65173 Wiesbaden
     --- Tel.: +49 (0)611 - 55 - 12331 oder
     --- Tel.: +49 (0)611 - 55 - 0


Attachment:
The filename of the attachment is one of the following:
   • Abbild-Der-Rechnung.zip; akte.zip; Anhang.zip; Anhang-Tickets.zip;
      anklage.zip; Anklage-Material.zip; anklageschrift.zip; Anzeige.zip;
      archiv.zip; bescheinigung.zip; beweise.zip; bild01.zip; Desktop.zip;
      fick_mich.zip; fickmich.zip; fotze.zip; free_pics.zip;
      free_videos.zip; geil.zip; ich_lauf_aus.zip; ichbingeil.zip;
      ihre_akte.zip; IhrEnde.zip; Kontoauszug.zip; Kopien.zip; meinbild.zip;
      meine_moese.zip; mypics.zip; New Folder.zip; Rechnung.zip;
      Rechnung-Anhang.zip; reklament.zip; sexy.zip; Tickets.zip;
      Ueberweisung.zip; Weltmeisterschaft.zip; WM.zip; WM-Anhang.zip;
      WM-Tickets.zip; vorladung.zip

The attachment is an archive containing a copy of the malware itself.



The email looks like the following:


 Mailing Search addresses:
It searches the following files for email addresses:
   • .wab; .tbb; .tbi; .doc; .xls; .txt; .csv; .htm; .html; .xml; .adb;
      .asa; .asc; .asm; .asp; .cgi; .con; .csp; .dbx; .dlt; .dwt; .edm;
      .hta; .htc; .inc; .jsp; .jst; .lbi; .php; .rdf; .rss; .sht; .ssi;
      .stm; .vbp; .vbs; .wml; .xht; .xsd; .xst


Avoid addresses:
It does not send emails to addresses containing one of the following strings:
   • admin; info; support; soft; webmaster; help; web; postmaster; root;
      bugs; rating; site; contact; privacy; serviceabuse; register; sales;
      cisco; gnu.org; bsd.it; debian; linux; berkeley; google; fido;
      ibm.com; microsoft.com; php.net; .mil; .gov; borland.com; sun.com;
      xinul.com; virus; kaspersky; sophos; ripe.; iana.; drweb.; secure;
      avp.; .arpa

 Network Infection In order to ensure its propagation the malware attemps to connect to other machines as described below.


Exploit:
It makes use of the following Exploit:
– MS04-007 (ASN.1 Vulnerability)


IP address generation:
It creates random IP addresses while it keeps the first two octets from its own address. Afterwards it tries to establish a connection with the created addresses.

 Backdoor The following port is opened:

%SYSDIR%\winlogon.exe on TCP port 1507 in order to provide an HTTP server.


Contact server:
All of the following:
   • 5d**********.net/mmm/register.php?
   • 7st**********.biz/mmm/register.php?
   • 7stick.info/mmm/register.php?
   • branch**********.biz/mmm/register.php?
   • branch**********.net/mmm/register.php?
   • frach**********.com/mmm/register.php?
   • frach**********.info/mmm/register.php?
   • mon**********.com/mmm/register.php?
   • ola**********.com/mmm/register.php?
   • ola**********.net/mmm/register.php?

As a result it may send some information. This is done via the HTTP GET request on a PHP script.


Sends information about:
     Malware uptime
     Information about the Windows operating system

 Injection –  It injects the following file into a process: %SYSDIR%\mszsrn32.dll

    Process name:
   • winlogon.exe


Description inserted by Irina Boldea on Monday, July 17, 2006
Description updated by Irina Boldea on Monday, July 31, 2006

Back . . . .