Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Banwarum.E
Scoperto:28/05/2006
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:50.176 Byte
Somma di controllo MD5:de42073eff6b9b12313915ad12c13bdb
Versione VDF:6.34.01.149
Versione IVDF:6.34.01.154 - lunedì 29 maggio 2006

 Generale Metodo di propagazione:
   • Email
   • Rete locale


Alias:
   •  Symantec: W32.Banwarum@mm
   •  Mcafee: W32/Banwarum@MM
   •  Kaspersky: Email-Worm.Win32.Banwarum.e
   •  TrendMicro: WORM_RANCHNEG.A
   •  VirusBuster: I-Worm.Banwarum.D
   •  Eset: Win32/Banwarum.E
   •  Bitdefender: Win32.Worm.Banwarum.A


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Clona un file maligno
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro
   • Sfrutta la vulnerabilit del software
   • Sottrae informazioni
   • Accesso e controllo del computer da parte di terzi

 File Viene creato il seguente file:

%SYSDIR%\mszsrn32.dll Ulteriori analisi hanno accertato che questo file anch'esso un malware. Riconosciuto come: Worm/Banwarum.E.1

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   mszsrn32
   • "DllName"="%SYSDIR%\mszsrn32.dll"
   • "Startup"="Startup"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000000
   • "Type"=dword:00000002
   • "SystemId"=dword:121d41eb

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
 Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
Uno dei seguenti:
   • Anzeige ist erstatet; BundesKriminalAmt; Ermittlungsverfahren wurde
      eingeleitet; Es ist AUS!; Gewonnen? GeWONNEN!; Guten Tag! Hier sind
      ihre WM Tickets!; Hallo!; Hoer auf damit!; Holen sie jetzt ihre WM
      Tickets ab!; Holen sie sich WM Tickets fuer das Finalle JETZT!; Ich
      zeige dich an!; Ich Zeige sie an!; Ihre Akte!; Ihre IP wurde geloggt!;
      JehhuuuU! WWWMMMM!!; Komme mit!; Sie besitzen Raubkopien; Sie
      betrueger!; Sie haben WM Tickets gewonnen!; Sie kommen ins Knast!;
      Warum machst du das?; Weltmeisterschaft!; WM Tickets!



Corpo dell'email:
Il corpo dellemail come uno dei seguenti:

   • Sehr geehrte Damen und Herren,
     
     vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen und ich wuerde sie gern Fragen wie es dazu kam. Iich danke Ihnen, aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne Sie nicht und Sie kennen mich nicht.
     
     Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet 035/98276590
     
     Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich aus versehentlichen Gruenden ein Password darauf gelegt, er lautet %stringa di caratteri casuale%
     
     Mit Freundlichen Gruessen
     Manfred Schmidt

   • Sehr geehrte Damen und Herren,
     
     warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
     Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
     
     In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
     Password dafuer lautet %stringa di caratteri casuale%
     
     Mit freundlichen Gruessen
     Gerhard Meyer

   • Sehr geehrte Damen und Herren,
     
     ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden. Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.
     
     In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet %stringa di caratteri casuale%
     
     Mit freundlichen Gruessen
     Ingrid Behnke

   • Sehr geehrte Damen und Herren,
     
     ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken. Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.
     
     Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet %stringa di caratteri casuale%
     
     Mit freundlichen Gruessen
     
     Anne Flachman

   • Hi,
     
     thx das du Geld an mich schicks, aber kannste damit auf hoeren?
     
     Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: %stringa di caratteri casuale%
     
     mfg Henry

   • Hallo,
     
     sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine Posdbank Account. Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
     
     Hier eine Anhang mit der Ueberweisung. Password dafuer lautete %stringa di caratteri casuale%
     
     Have a nice day
     John Walthers

   • Sehr geehrte Damen und Herren,
     
     wir laden Sie rechtherzlich zu unseren «Gewinne WM Tickets» Aktion. Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen. Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.
     
     Das Kennwort fuer den Formular lautet %stringa di caratteri casuale%
     
     Herzlichen Dank
     Bathe Maune

   • Sehr geehrte Damen und Herren,
     
     Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei! Verpassen Sie ihre einmalige Chance nicht!
     
     Anhangspassword: %stringa di caratteri casuale%
     
     Mit freundlichen Gruessen
     Lotto-GDI GmbH

   • Hi man,
     
     ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
     
     Password zu dem Archiv lautet %stringa di caratteri casuale%
     
     Mfg Niemand ;)

   • Hi sexgott ich bin so geil das ich nicht mehr kann
     
     hier ein paar fotos wie ich grade abgehe!
     
     das password fuer die fotos ist: %stringa di caratteri casuale%
     
     Gruesse Monica

   • Oh BABY!!!
     
     Ich bin so geil bitte fick mich
     
     meine muschi leuft aus ich will dich o bitte bitttte.........
     
     hofffendlich bist du auch Geil wenn du meine Pics siehst :P
     
     habe dir paar neue mitgeschickt
     
     das password ist: %stringa di caratteri casuale%
     
     bye bye

   • Sehr geehrte Damen und Herren,
     
     warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
     Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
     
     In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
     Password dafuer lautet %stringa di caratteri casuale%
     
     Mit freundlichen Gruessen
     Gerhard Meye

   • Hi,
     
     thx das du Geld an mich schicks, aber kannste damit auf hoeren?
     
     Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: %stringa di caratteri casuale%
     
     mfg Henry

   • Sehr geehrte Damen und Herren,
     
     Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei! Verpassen Sie ihre einmalige Chance nicht!
     
     Anhangspassword: %stringa di caratteri casuale%
     
     Mit freundlichen Gruessen
     Lotto-GDI GmbH

   • Hi man,
     
     ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
     
     Password zu dem Archiv lautet %stringa di caratteri casuale%
     
     Mfg Niemand ;)

   • Hallo Albert
     
     Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen! Die fotos sind mit der emial
     
     das password hab ich raufgemacht es lautet: %stringa di caratteri casuale%

   • Sehr geehrte Dame, sehr geehrter Herr,
     
     das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
     
     Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
     
     Aktenzeichen NR.:
      (siehe Anhang)
     
     ACHTUNG: der Anhang ist Password geschuetzt
     
     der Password fuer den Anhang (ihre Akte)
     
     lautet: %stringa di caratteri casuale%
     
     bitte vergessen sie ihn nicht
     
     Hochachtungsvoll
     
     i.A. Juergen Stock
     
     --- Bundeskriminalamt BKA
     --- Referat LS 2
     --- 65173 Wiesbaden
     --- Tel.: +49 (0)611 - 55 - 12331 oder
     --- Tel.: +49 (0)611 - 55 - 0


File allegato:
Il nome del file allegato uno dei seguenti:
   • Abbild-Der-Rechnung.zip; akte.zip; Anhang.zip; Anhang-Tickets.zip;
      anklage.zip; Anklage-Material.zip; anklageschrift.zip; Anzeige.zip;
      archiv.zip; bescheinigung.zip; beweise.zip; bild01.zip; Desktop.zip;
      fick_mich.zip; fickmich.zip; fotze.zip; free_pics.zip;
      free_videos.zip; geil.zip; ich_lauf_aus.zip; ichbingeil.zip;
      ihre_akte.zip; IhrEnde.zip; Kontoauszug.zip; Kopien.zip; meinbild.zip;
      meine_moese.zip; mypics.zip; New Folder.zip; Rechnung.zip;
      Rechnung-Anhang.zip; reklament.zip; sexy.zip; Tickets.zip;
      Ueberweisung.zip; Weltmeisterschaft.zip; WM.zip; WM-Anhang.zip;
      WM-Tickets.zip; vorladung.zip

L'allegato un archivio che contiene una copia del malware stesso.



Lemail si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .wab; .tbb; .tbi; .doc; .xls; .txt; .csv; .htm; .html; .xml; .adb;
      .asa; .asc; .asm; .asp; .cgi; .con; .csp; .dbx; .dlt; .dwt; .edm;
      .hta; .htc; .inc; .jsp; .jst; .lbi; .php; .rdf; .rss; .sht; .ssi;
      .stm; .vbp; .vbs; .wml; .xht; .xsd; .xst


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • admin; info; support; soft; webmaster; help; web; postmaster; root;
      bugs; rating; site; contact; privacy; serviceabuse; register; sales;
      cisco; gnu.org; bsd.it; debian; linux; berkeley; google; fido;
      ibm.com; microsoft.com; php.net; .mil; .gov; borland.com; sun.com;
      xinul.com; virus; kaspersky; sophos; ripe.; iana.; drweb.; secure;
      avp.; .arpa

 Infezione della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Exploit:
Sfrutta la seguente vulnerabilit:
– MS04-007 (ASN.1 Vulnerability)


Generazione dell'indirizzo IP:
Crea degli indirizzi IP casuali mentre mantiene i primi due ottetti dal proprio indirizzo. In seguito prova a stabilire una connessione con gli indirizzi creati.

 Backdoor Viene aperta la seguente porta:

%SYSDIR%\winlogon.exe sulla porta TCP 1507 con lo scopo di procurarsi un server HTTP.


Contatta il server:
Tutti i seguenti:
   • 5d**********.net/mmm/register.php?
   • 7st**********.biz/mmm/register.php?
   • 7stick.info/mmm/register.php?
   • branch**********.biz/mmm/register.php?
   • branch**********.net/mmm/register.php?
   • frach**********.com/mmm/register.php?
   • frach**********.info/mmm/register.php?
   • mon**********.com/mmm/register.php?
   • ola**********.com/mmm/register.php?
   • ola**********.net/mmm/register.php?

Come risultato pu inviare alcune informazioni. Questo viene fatto tramite la richiesta HTTP GET in uno script PHP.


Invia informazioni riguardanti:
     Uptime del malware
     Informazioni sul sistema operativo Windows

 Come il virus si inserisce nei processi –  Inserisce il seguente file in un processo: %SYSDIR%\mszsrn32.dll

    Nome del processo:
   • winlogon.exe


Descrizione inserita da Irina Boldea su lunedì 17 luglio 2006
Descrizione aggiornata da Irina Boldea su lunedì 31 luglio 2006

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.