Nom:Worm/Ranchneg.A
La date de la découverte:23/05/2006
Type:Ver
En circulation:Oui
Infections signalées Moyen
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:46.626 Octets
Somme de contrôle MD5:6d1c9334017614671b83d139e8de0534
Version VDF:6.34.01.128
Version IVDF:6.34.01.133 - mercredi 24 mai 2006

 Général Méthodes de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Symantec: W32.Banwarum@mm
   •  Mcafee: W32/Banwarum@MM
   •  Kaspersky: Email-Worm.Win32.Banwarum.a
   •  TrendMicro: WORM_RANCHNEG.A
   •  F-Secure: Email-Worm.Win32.Banwarum.a
   •  Sophos: W32/Zasran-A
   •  Panda: W32/Banwarum.A.worm
   •  Grisoft: I-Worm/Zasran.A
   •  VirusBuster: I-Worm.Banwarum.A
   •  Eset: Win32/Banwarum.A
   •  Bitdefender: Win32.Ranchneg.A@mm

Avant, il était détecté comme:
   •  TR/Ranchneg.A

Détection similaires:
   •  W32/Zasran.A
   •  Win32.Zasrancheg


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres
   • Il emploie les vulnérabilités de software

 Fichiers Le fichier suivant est créé:

%SYSDIR%\mszsrn32.dll Détecté comme: Worm/Ranchneg.A.DLL

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   mszsrn32]
   • "DllName"="%SYSDIR%\mszsrn32.dll"
   • "Startup"="Startup"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000000
   • "Type"=dword:00000002
   • "SystemId"=dword:%dépendant du système%
   • "LastAck"=dword:%nombre%
   • "NoScan"=dword:%nombre%
   • "ConfSaved"=dword:%nombre%

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.


Sujet:
Un des suivants:
   • 1000 Euro von der Postbank; Abbild-Der-Rechnung; Anhang;
      Anhang-Tickets; Anzeige ist erstatet; archiv; Auszahlungen;
      bank-kontoauszuge; Betrueg bitte deine Frau mit mir!; Bitte stoppen
      Sie es; Bums eine Schwarze und gewinne WM-Karten!; Bums mein Arsch!;
      BundesKriminalAmt; Das Geld das nicht mir gehoert; Desktop; Du bist
      mein Sexgott!; Du machst mich so Geil!; Du Sexgott!; Emilion Volks;
      Ermittlungsverfahren wurde eingeleitet; Es ist AUS!; Es ist ein
      Missverstaendnis geschehen; Es leuft mir schon das bein Runter Honey!;
      Falscher Adressant; Falschueberweisung; Fasches Bankkonto; Fick mein
      Po!; Ficke meine Brust!; Geld von Postbank; Geldueberweisungen;
      Gewonnen? GeWONNEN!; Guten Tag! Hier sind ihre WM Tickets!; Hallo!;
      Hoer auf damit!; Holen sie jetzt ihre WM Tickets ab!; Holen sie sich
      WM Tickets fuer das Finalle JETZT!; Ich bin dauergeill warum?; Ich hab
      die neuen Fotos Fertig!; Ich hab ihr Geld.; Ich habe Geld von ihren
      Postbank Konto bekommen; Ich lauf aus bitte leck mich!; Ich liebe
      dich!; Ich zeige dich an!; Ich Zeige sie an!; Ihr Geld; Ihr WM Team;
      Ihre Akte!; Ihre Auszahlungen an mich; Ihre IP wurde geloggt!;
      JehhuuuU! WWWMMMM!!; Komme mit!; Kontoauszug; Lass dich Umsonst Wixen!
      Nur ab 18 Jahren!; Missueberweisungen; Neuer Ordner; New Folder; Nimm
      mich durch mein Schadz!; Postbank; Postbank Ueberweisungen;
      Postbank-Ueberweisungen; Rechnung; Rechnung-Anhang; Sie besitzen
      Raubkopien; Sie betrueger!; Sie haben WM Tickets gewonnen!; Sie kommen
      ins Knast!; Tickets; Treibs mit einer schlampe!; Uberweisungen;
      Ueberweisung; Ueberweisung an einen falschen Adressanten; Umsonst mein
      Arschficken ab 18 Jahren!; Warum machst du das?; Warum schicken sie
      mir Geld?; Weltmeisterschaft; Weltmeisterschaft!; WM Tickets!;
      WM-Anhang; WM-Tickets



Corps:
– Il contient du code HTML
Le corps de l'email est un des suivants:

   • Die nacktfotos die ich von ihnen bekamm leitete ich an das Kriminal Amt weiter!
     Das ist Sexuelle belastigung!
     Sie bekommen eine Anzeige und eine geldschtraffe
     melden sie sich in den naexten tagen bei der Polzei!
     Die vorladung und die Fotos als beweis hab ich der Email beigefuegt
     das password ist : %chaîne de caractères aléatoire%
     
     Emilion Volks

   • Tina es ist schluss!
     Unterlasse es mir die fotos zu schicken
     wir sind nicht mehr zusammen und ich will dich
     nicht mehr nackt sehen!
     Ich habe dich Angezeigt weil das einfach zu weit geht tut mir leid!
     Deine Fotos und die Kopie der Anzeige hab ich in der Email beigefuegt!
     damit deine Intimen fotos keiner sieht hab ich einen password rauf gemacht
     das password ist dein Name: %chaîne de caractères aléatoire%
     
     schreib nicht zurueck
     Alexei

   • Sehr geehrte Damen und Herren,
     seit Gestern bekomme ich andauernt Geld von Ihnen, ich danke sehr, aber ich glaube es ist ein Fehler unterlaufen.
     Ich habe ein Konto bei der Postbank und es lautet 48756830000443 Bankleitzahl: 94775775
     Bitte ueberpruefen Sie ihre Auszahlungen und rufen sie mich unter folgender
     Nummer an 056/48576887 damit wir besprechen koennen wie ich Ihr Geld zurueckzahlen koennte.
     In dem Anhang habe ich eine Kopie der Ueberweisung gemacht, Kennwort fuer das Archiv lautet %chaîne de caractères aléatoire%
     
     Mit freundlichen Gruessen
     Mattias Botcher

   • Oh BABY!!!
     Ich bin so geil bitte fick mich
     meine muschi leuft aus ich will dich o bitte bitttte.........
     hofffendlich bist du auch Geil wenn du meine Pics siehst :P
     habe dir paar neue mitgeschickt
     das password ist: %chaîne de caractères aléatoire%
     
     bye bye

   • Hi,
     thx das du Geld an mich schicks, aber kannste damit auf hoeren?
     Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: %chaîne de caractères aléatoire%
     
     mfg Henry

   • Hi sexgott ich bin so geil das ich nicht mehr kann
     hier ein paar fotos wie ich grade abgehe!
     das password fuer die fotos ist: %chaîne de caractères aléatoire%
     
     Gruesse Monica

   • Sehr geehrte Damen und Herren,
     danke das Sie bei unserer Lotterie mitgemacht haben, und wir wollen sie damit benachrichtigen, dass Sie GEWONNEN HABT!
     Alles was jetzt noch zu machen ist, schnell die Tickets ausfuellen und zu WM gehen!
     Dateianhangspassword: %chaîne de caractères aléatoire%
     
     Mit freundlichen Gruessen
     Lotterie-NOD GmbH

   • Sehr geehrte Dame, sehr geehrter Herr,
     das Herunterladen von Filmen, Software und MP3s ist illegal und
     somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass
     Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner
     wurde als Beweismittel sichergestellt und es wird ein
     Ermittlungsverfahren gegen Sie eingleitet.
     Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird
     Ihnen in den naechsten Tagen schriftlich zugestellt.
     Aktenzeichen NR.:
      (siehe Anhang)
     ACHTUNG: der Anhang ist Password geschuetzt
     der Password fuer den Anhang (ihre Akte)
     lautet: %chaîne de caractères aléatoire%
     
     bitte vergessen sie ihn nicht
     Hochachtungsvoll
     i.A. Juergen Stock
     --- Bundeskriminalamt BKA
     --- Referat LS 2
     --- 65173 Wiesbaden
     --- Tel.: +49 (0)611 - 55 - 12331 oder
     --- Tel.: +49 (0)611 - 55 - 0

   • Hi honey
     wie findest du eigendlich das das deine Schwester so Rumhurt?
     ich mag sie voll gerne aber sie hat Robert den Afganer auf party ein geblasen
     und Tina hat das mit der kamera aufgenommen
     es ist deine sache ob du das deinen Eltern zeigst aber das video schick ich dir
     das password dafuer ist : %chaîne de caractères aléatoire%
     
     Alles liebe
     

   • Hi man,
     ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache.
     Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
     Password zu dem Archiv lautet %chaîne de caractères aléatoire%
     
     Mfg Niemand ;)

   • Hi Schadz ich schreib aus den Inet cafe in Muenchen
     meine neuen Fotos sind fertig und ich vermisse dich!
     Die fotos sind gut geweorden ich hab das alles nur dier zuliebe getann
     und das weisst du!
     Die Fotos hab ich der Email beigefuegt ich hoffe du bist zufrieden
     ah ja und damit sie keiner ausser die oefnet hab ich ein password
     drauf gemacht das password ist mein name also: %chaîne de caractères aléatoire%
     
     Mit liebe Monica

   • Hallo Albert
     Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du
     mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen!
     Die fotos sind mit der emial
     das password hab ich raufgemacht es lautet: %chaîne de caractères aléatoire%
     

   • Warum drohen sie mir hab ich ihnen was getann?
     Ich wusste schon lange das Schwarze nicht erweunscht sind!
     Ich habe sie bei der Polizei angezeigt sie werden sich um sie kuemern
     ich habe der email einen Anhang beigefuergt da drinne ist eine Kopie
     der Anzeige
     das password fuer die Anzeige lautet: %chaîne de caractères aléatoire%
     
     Ublaskar

   • Sehr geehrte Frau Tisha
     das Zuspammen von meiner Email mir ihren nacktfotos
     bleibt nicht unbemerkt.
     Heute Morgen erstattete ich eine Anzeige bei der BKA Wiesbaden!
     Meinen Anwahlt wurde die sache uebergeben!
     Ich moechte mit ihnen nicht zu tunn haben und ihre Nacktfotos
     schick ich ihnen mit der Anklageschrift zurueck!
     Die fotos und das schreiben hab ich der Email beigefuegt,
     dass password lautet: %chaîne de caractères aléatoire%
     
     Bitte keine Fotos und Emails mehr
     Kresen

   • Warum bin ich so dauergeil immer muss ich mir was in die MuMu reinschieben
     ist das vieleicht ungesund wenn ich dir banane rein tue sie fuelt sich so gut an
     was meinst du?
     Guck dir meine Fotos an und sag bescheid!
     das Password fuer die fotos ist: %chaîne de caractères aléatoire%
     
     geilen gruss

   • Sehr geehrte Damen und Herren,
     ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden.
     Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.
     In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet %chaîne de caractères aléatoire%
     
     Mit freundlichen Gruessen
     Ingrid Behnke

   • Willst du WM tickets gewinnen?
     Dann sende uns eine ausgefueltte kopie des Geweinnzettel und wir schicken dir
     2 Tickets fuer das Finalle!
     Der geweinnzettel ist beigefuegt!
     Ihr persoenliches password lautet: %chaîne de caractères aléatoire%
     
     Ihr WM Team

   • Ja ich bin deine HERRIN
     aber du darfst trozdem mein Hintern ficken
     ich weiss nicht warum aber das fuelt sich ueber geil an
     mach das baby oder hast du keine lust?
     Guck dir meine fotos an du wirst schon lust bekommen
     das password fuer die pics ist: %chaîne de caractères aléatoire%
     
     cya dein bussi

   • Sehr geehrte Damen und Herren,
     vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen und ich wuerde sie gern Fragen wie es dazu kam.
     Iich danke Ihnen, aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne Sie nicht und Sie kennen mich nicht.
     Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet 035/98276590
     Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich aus versehentlichen Gruenden ein Password darauf gelegt, er lautet %chaîne de caractères aléatoire%
     
     Mit Freundlichen Gruessen
     Manfred Schmidt

   • Sehr geehrte Damen und Herren,
     warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
     Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
     In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
     Password dafuer lautet %chaîne de caractères aléatoire%
     
     Mit freundlichen Gruessen
     Gerhard Meyer

   • Sehr geehrte Damen und Herren,
     ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken.
     Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.
     Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet %chaîne de caractères aléatoire%
     
     Mit freundlichen Gruessen
     Anne Flachman

   • Hallo,
     sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine Posdbank Account.
     Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
     Hier eine Anhang mit der Ueberweisung. Password dafuer lautete %chaîne de caractères aléatoire%
     
     Have a nice day
     John Walthers

   • Guten Tag sehr geehrte Damen und Herren!
     Meine Web-Site zeichnete Angriffe von ihrer IP Auf
     Ich habe mich bei T-Com beschwert und ihre Email bekommen
     bitte unterlassen sie alle angriffe auf meine Web-Site
     die Anzeige ist erstatet! Die anklage schrift hab ich der Email beigefuegt.
     Password fuer die Anklageschrift lautet: %chaîne de caractères aléatoire%
     
     Karl Stein

   • Wir werden sehen ich sperre mich ein!
     Sie drohen mir das sie mich aufschlitzen wollen?
     Ich habe sie gestern Angeziegt und stehe unter Polizei schutz!
     Hier die letzte mahnung hab ich der Email beigefuegt!
     das Password lautet: %chaîne de caractères aléatoire%
     
     Werner Blass

   • Sehr geehrte Damen und Herren,
     ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie gekauft, aber wie es sich rausstellte koennen wir wegen politischen
     Hintergrunden nicht an WM teilnehmen. Deswegen bekommen sie es jetzt. Brauchen sie jetzt nicht zu danken, denn wenn sie jetzt diesen Brief lesen,
     sind wir schon in einem anderen Land.
     Die Tickets koennen Sie an der Siemens Rezeption abholen, hierzu benoetigte Adresse Habichstra?e 356, Koeln.
     Wir wuenschen ihnen von der ganzen Familie gutes Spiel.
     In dem Anhang haben sie ein Foto von den Tickets, Password fuer den Archiv lautet %chaîne de caractères aléatoire%
     
     Mit freundlichen Gruessen
     Salim Heraldulkalam

   • Sehr geehrte Damen und Herren,
     Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem Ultimativen Ticket koennen sie so viele wie sie wollen zu dem WM Spiel einladen!
     Alles was sie zu machen brauchen ist diesen einen Anhang entpacken und ihre Unterschriften darauf schreiben. Das Kennwort fuer den Anhang lautet
     %chaîne de caractères aléatoire%
     
     Mit freundlichen Gruessen
     WM - Free Tickets Organisation (kurz gesch. WMFTO)

   • Sehr geehrte Damen und Herren,
     Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei!
     Verpassen Sie ihre einmalige Chance nicht!
     Anhangspassword: %chaîne de caractères aléatoire%
     
     Mit freundlichen Gruessen
     Lotto-GDI GmbH

   • Sehr geehrte Damen und Herren,
     wir laden Sie rechtherzlich zu unseren «Gewinne WM Tickets Aktion». Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen.
     Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.
     Das Kennwort fuer den Formular lautet %chaîne de caractères aléatoire%
     
     Herzlichen Dank
     Bathe Maune

   • Warum betruegst du Albert?
     Ich hab mir dir geschlafen und habe alles getann was du wolltest und du
     du ficks meine schwester wo ich Zwei tage zu Mama wegfahre?
     Du bist der groesste Arschloch und es ist vorbei!
     das video hat mir Tina geschickt wo du mit ihr gepoppt hast und wie ihr das aufgenommen habt
     das ist das Beweis und du wirst es noch sehen!
     Das video schick ich mit der Email
     das password was ich darauf gemacht habe ist: %chaîne de caractères aléatoire%
     
     Fick dich
     Helena

   • Hi, du hast mich mal bei irgendeinem Online-Dating, ich hab gesagt du bist haesslich und geblockt, Sorry,..
     Du bist nicht haesslich, ich war einfach mies drauf. Ich will es wiedergut machen, lade dich damit zu WM, Tickets habe ich ins Attach gelegt,
      entpacke es und druecks aus. Password fuer den Archiv lautet %chaîne de caractères aléatoire%
     
     mfg Nadine


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • Abbild-Der-Rechnung
   • Anhang
   • Anhang-Tickets
   • anklage
   • Anklage-Material
   • anklageschrift
   • Anzeige
   • archiv
   • Auszahlungen
   • bank-kontoauszuge
   • bescheinigung
   • beweise
   • bild01
   • Desktop
   • fick_mich
   • fickmich
   • fotze
   • free_pics
   • free_videos
   • ich_lauf_aus
   • ichbingeil
   • ihre_akte
   • IhrEnde
   • Kontoauszug
   • Kopien
   • meinbild
   • meine_moese
   • mypics
   • Neuer Ordner
   • New Folder
   • Postbank
   • Postbank-Ueberweisungen
   • Rechnung
   • Rechnung-Anhang
   • reklament
   • Tickets
   • Ueberweisung
   • vorladung
   • Weltmeisterschaft
   • WM-Anhang
   • WM-Tickets

Continué par un des suivants:
   • zip



Voici un exemple de la manière dont se présente le nom du fichier de la pièce jointe.
   • mypics.zip



L'email ressemble à celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • asm; asp; cgi; doc; txt; hta; htm; html; inc; php; ttf; vbp; xml; xls
Il combine le résultat avec les domaines trouvés dans les fichiers qui ont été précédemment recherchés pour des adresses.


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • abuse; admin; bugs; help; service; privacy; soft; site; support;
      contact; rating; webmaster; postmaster; info; root; ripe; fido; linux;
      google; berkeley; ibm.com; .mil; .gov

 Infection du réseau La vulnérabilité:
Il se sert de la vulnérabilité suivante:
– MS04-007 (ASN.1 Vulnerability)

 Porte dérobée Le port suivant est ouvert:

– winlogon.exe sur un port TCP aléatoire afin de fournir de capacités de porte dérobée


Serveur de contact:
Tous les suivants:
   • http://7stick.biz/mmm/**********?id=-%plusieurs chiffres aléatoires%&uptime=%nombre%&type=2&version=1&os=%système d'exploitation%
   • http://7stick.biz/mmm/**********
   • http://olania.net/mmm/**********?id=-%plusieurs chiffres aléatoires%&uptime=%nombre%&type=2&version=1&os=%système d'exploitation%
   • http://olania.net/mmm/**********
   • http://olania.com/mmm/**********?id=-%plusieurs chiffres aléatoires%&uptime=%nombre%&type=2&version=1&os=%système d'exploitation%
   • http://olania.com/mmm/**********
   • http://7stick.info/mmm/**********?id=-%plusieurs chiffres aléatoires%&uptime=%nombre%&type=2&version=1&os=%système d'exploitation%
   • http://7stick.info/mmm/**********
   • http://brancholania.net/mmm/**********?id=-%plusieurs chiffres aléatoires%&uptime=%nombre%&type=2&version=1&os=%système d'exploitation%
   • http://brancholania.net/mmm/**********
   • http://brancholania.biz/mmm/**********?id=-%plusieurs chiffres aléatoires%&uptime=%nombre%&type=2&version=1&os=%système d'exploitation%
   • http://brancholania.biz/mmm/**********
   • http://frachetto.com/mmm/**********?id=-%plusieurs chiffres aléatoires%&uptime=%nombre%&type=2&version=1&os=%système d'exploitation%
   • http://frachetto.com/mmm/**********
   • http://frachetto.info/mmm/**********?id=-%plusieurs chiffres aléatoires%&uptime=%nombre%&type=2&version=1&os=%système d'exploitation%
   • http://frachetto.info/mmm/**********
   • http://5dime.net/mmm/**********?id=-%plusieurs chiffres aléatoires%&uptime=%nombre%&type=2&version=1&os=%système d'exploitation%
   • http://5dime.net/mmm/**********
   • http://monti2.com/mmm/**********?id=-%plusieurs chiffres aléatoires%&uptime=%nombre%&type=2&version=1&os=%système d'exploitation%
   • http://monti2.com/mmm/**********

Ceci est fait par l'intermédiaire des méthodes PHP, HTTP GET et POST


Il envoie de l'information au sujet de:
    • Les adresses email recueillies
    • Le temps de fonctionnement du Malware
    • Information sur le système d'exploitation Windows


Capacités d'accès à distance:
    • Envoyer des e-mails
    • Démarrer une routine de propagation

 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant le site web suivant:
   • google.com

 Détails de fichier La date de la compilation:
La date: 23/05/2006
L'heure: 22:02:23

Description insérée par Alexander Vukcevic le mardi 23 mai 2006
Description mise à jour par Oliver Auerbach le mercredi 31 mai 2006

Retour . . . .