Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Banwarum.E
La date de la dcouverte:28/05/2006
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:50.176 Octets
Somme de contrle MD5:de42073eff6b9b12313915ad12c13bdb
Version VDF:6.34.01.149
Version IVDF:6.34.01.154 - lundi 29 mai 2006

 Gnral Mthode de propagation:
   • Email
   • Le rseau local


Les alias:
   •  Symantec: W32.Banwarum@mm
   •  Mcafee: W32/Banwarum@MM
   •  Kaspersky: Email-Worm.Win32.Banwarum.e
   •  TrendMicro: WORM_RANCHNEG.A
   •  VirusBuster: I-Worm.Banwarum.D
   •  Eset: Win32/Banwarum.E
   •  Bitdefender: Win32.Worm.Banwarum.A


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre un fichier malveillant
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres
   • Il emploie les vulnrabilits de software
   • Il vole de l'information
   • Il facilite l'accs non autoris l'ordinateur

 Fichiers Le fichier suivant est cr:

%SYSDIR%\mszsrn32.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: Worm/Banwarum.E.1

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   mszsrn32
   • "DllName"="%SYSDIR%\mszsrn32.dll"
   • "Startup"="Startup"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000000
   • "Type"=dword:00000002
   • "SystemId"=dword:121d41eb

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Un des suivants:
   • Anzeige ist erstatet; BundesKriminalAmt; Ermittlungsverfahren wurde
      eingeleitet; Es ist AUS!; Gewonnen? GeWONNEN!; Guten Tag! Hier sind
      ihre WM Tickets!; Hallo!; Hoer auf damit!; Holen sie jetzt ihre WM
      Tickets ab!; Holen sie sich WM Tickets fuer das Finalle JETZT!; Ich
      zeige dich an!; Ich Zeige sie an!; Ihre Akte!; Ihre IP wurde geloggt!;
      JehhuuuU! WWWMMMM!!; Komme mit!; Sie besitzen Raubkopien; Sie
      betrueger!; Sie haben WM Tickets gewonnen!; Sie kommen ins Knast!;
      Warum machst du das?; Weltmeisterschaft!; WM Tickets!



Corps:
Le corps de l'email est un des suivants:

   • Sehr geehrte Damen und Herren,
     
     vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen und ich wuerde sie gern Fragen wie es dazu kam. Iich danke Ihnen, aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne Sie nicht und Sie kennen mich nicht.
     
     Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet 035/98276590
     
     Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich aus versehentlichen Gruenden ein Password darauf gelegt, er lautet %chane de caractres alatoire%
     
     Mit Freundlichen Gruessen
     Manfred Schmidt

   • Sehr geehrte Damen und Herren,
     
     warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
     Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
     
     In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
     Password dafuer lautet %chane de caractres alatoire%
     
     Mit freundlichen Gruessen
     Gerhard Meyer

   • Sehr geehrte Damen und Herren,
     
     ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden. Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.
     
     In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet %chane de caractres alatoire%
     
     Mit freundlichen Gruessen
     Ingrid Behnke

   • Sehr geehrte Damen und Herren,
     
     ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken. Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.
     
     Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet %chane de caractres alatoire%
     
     Mit freundlichen Gruessen
     
     Anne Flachman

   • Hi,
     
     thx das du Geld an mich schicks, aber kannste damit auf hoeren?
     
     Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: %chane de caractres alatoire%
     
     mfg Henry

   • Hallo,
     
     sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine Posdbank Account. Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
     
     Hier eine Anhang mit der Ueberweisung. Password dafuer lautete %chane de caractres alatoire%
     
     Have a nice day
     John Walthers

   • Sehr geehrte Damen und Herren,
     
     wir laden Sie rechtherzlich zu unseren «Gewinne WM Tickets» Aktion. Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen. Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.
     
     Das Kennwort fuer den Formular lautet %chane de caractres alatoire%
     
     Herzlichen Dank
     Bathe Maune

   • Sehr geehrte Damen und Herren,
     
     Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei! Verpassen Sie ihre einmalige Chance nicht!
     
     Anhangspassword: %chane de caractres alatoire%
     
     Mit freundlichen Gruessen
     Lotto-GDI GmbH

   • Hi man,
     
     ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
     
     Password zu dem Archiv lautet %chane de caractres alatoire%
     
     Mfg Niemand ;)

   • Hi sexgott ich bin so geil das ich nicht mehr kann
     
     hier ein paar fotos wie ich grade abgehe!
     
     das password fuer die fotos ist: %chane de caractres alatoire%
     
     Gruesse Monica

   • Oh BABY!!!
     
     Ich bin so geil bitte fick mich
     
     meine muschi leuft aus ich will dich o bitte bitttte.........
     
     hofffendlich bist du auch Geil wenn du meine Pics siehst :P
     
     habe dir paar neue mitgeschickt
     
     das password ist: %chane de caractres alatoire%
     
     bye bye

   • Sehr geehrte Damen und Herren,
     
     warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
     Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
     
     In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
     Password dafuer lautet %chane de caractres alatoire%
     
     Mit freundlichen Gruessen
     Gerhard Meye

   • Hi,
     
     thx das du Geld an mich schicks, aber kannste damit auf hoeren?
     
     Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: %chane de caractres alatoire%
     
     mfg Henry

   • Sehr geehrte Damen und Herren,
     
     Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei! Verpassen Sie ihre einmalige Chance nicht!
     
     Anhangspassword: %chane de caractres alatoire%
     
     Mit freundlichen Gruessen
     Lotto-GDI GmbH

   • Hi man,
     
     ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
     
     Password zu dem Archiv lautet %chane de caractres alatoire%
     
     Mfg Niemand ;)

   • Hallo Albert
     
     Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen! Die fotos sind mit der emial
     
     das password hab ich raufgemacht es lautet: %chane de caractres alatoire%

   • Sehr geehrte Dame, sehr geehrter Herr,
     
     das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
     
     Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
     
     Aktenzeichen NR.:
      (siehe Anhang)
     
     ACHTUNG: der Anhang ist Password geschuetzt
     
     der Password fuer den Anhang (ihre Akte)
     
     lautet: %chane de caractres alatoire%
     
     bitte vergessen sie ihn nicht
     
     Hochachtungsvoll
     
     i.A. Juergen Stock
     
     --- Bundeskriminalamt BKA
     --- Referat LS 2
     --- 65173 Wiesbaden
     --- Tel.: +49 (0)611 - 55 - 12331 oder
     --- Tel.: +49 (0)611 - 55 - 0


Pice jointe:
Le nom de fichier de l'attachement est un des suivants:
   • Abbild-Der-Rechnung.zip; akte.zip; Anhang.zip; Anhang-Tickets.zip;
      anklage.zip; Anklage-Material.zip; anklageschrift.zip; Anzeige.zip;
      archiv.zip; bescheinigung.zip; beweise.zip; bild01.zip; Desktop.zip;
      fick_mich.zip; fickmich.zip; fotze.zip; free_pics.zip;
      free_videos.zip; geil.zip; ich_lauf_aus.zip; ichbingeil.zip;
      ihre_akte.zip; IhrEnde.zip; Kontoauszug.zip; Kopien.zip; meinbild.zip;
      meine_moese.zip; mypics.zip; New Folder.zip; Rechnung.zip;
      Rechnung-Anhang.zip; reklament.zip; sexy.zip; Tickets.zip;
      Ueberweisung.zip; Weltmeisterschaft.zip; WM.zip; WM-Anhang.zip;
      WM-Tickets.zip; vorladung.zip

La pice jointe est une archive contenant une copie du virus



L'email ressemble celui-ci:


 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .wab; .tbb; .tbi; .doc; .xls; .txt; .csv; .htm; .html; .xml; .adb;
      .asa; .asc; .asm; .asp; .cgi; .con; .csp; .dbx; .dlt; .dwt; .edm;
      .hta; .htc; .inc; .jsp; .jst; .lbi; .php; .rdf; .rss; .sht; .ssi;
      .stm; .vbp; .vbs; .wml; .xht; .xsd; .xst


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • admin; info; support; soft; webmaster; help; web; postmaster; root;
      bugs; rating; site; contact; privacy; serviceabuse; register; sales;
      cisco; gnu.org; bsd.it; debian; linux; berkeley; google; fido;
      ibm.com; microsoft.com; php.net; .mil; .gov; borland.com; sun.com;
      xinul.com; virus; kaspersky; sophos; ripe.; iana.; drweb.; secure;
      avp.; .arpa

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


La vulnrabilit:
Il se sert de la vulnrabilit suivante:
– MS04-007 (ASN.1 Vulnerability)


La cration des adresses IP:
Il cre des adresses IP alatoires tandis qu'il garde les deux premiers octets de sa propre adresse. Aprs il essaye d'tablir une connexion avec les adresses cres.

 Porte drobe Le port suivant est ouvert:

%SYSDIR%\winlogon.exe sur le port TCP 1507 afin de fournir un serveur HTTP


Serveur de contact:
Tous les suivants:
   • 5d**********.net/mmm/register.php?
   • 7st**********.biz/mmm/register.php?
   • 7stick.info/mmm/register.php?
   • branch**********.biz/mmm/register.php?
   • branch**********.net/mmm/register.php?
   • frach**********.com/mmm/register.php?
   • frach**********.info/mmm/register.php?
   • mon**********.com/mmm/register.php?
   • ola**********.com/mmm/register.php?
   • ola**********.net/mmm/register.php?

En consquence il peut envoyer de l'information. Ceci est fait par l'intermdiaire de la requte HTTP GET du script PHP.


Il envoie de l'information au sujet de:
     Le temps de fonctionnement du Malware
     Information sur le systme d'exploitation Windows

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %SYSDIR%\mszsrn32.dll

    Nom du processus :
   • winlogon.exe


Description insérée par Irina Boldea le lundi 17 juillet 2006
Description mise à jour par Irina Boldea le lundi 31 juillet 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.