Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusWorm/Banwarum.E
Data em que surgiu:28/05/2006
Tipo:Worm
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:De médio a elevado
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:50.176 Bytes
MD5 checksum:de42073eff6b9b12313915ad12c13bdb
Versão VDF:6.34.01.149
Versão IVDF:6.34.01.154 - segunda-feira, 29 de maio de 2006

 Vulgarmente Meio de transmissão:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Banwarum@mm
   •  Mcafee: W32/Banwarum@MM
   •  Kaspersky: Email-Worm.Win32.Banwarum.e
   •  TrendMicro: WORM_RANCHNEG.A
   •  VirusBuster: I-Worm.Banwarum.D
   •  Eset: Win32/Banwarum.E
   •  Bitdefender: Win32.Worm.Banwarum.A


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows
   • Aproveita-se de vulnerabilidades do software
   • Informação de roubos
   • Possibilita acesso não autorizado ao computador

 Ficheiros É criado o seguinte ficheiro:

%SYSDIR%\mszsrn32.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: Worm/Banwarum.E.1

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   mszsrn32
   • "DllName"="%SYSDIR%\mszsrn32.dll"
   • "Startup"="Startup"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000000
   • "Type"=dword:00000002
   • "SystemId"=dword:121d41eb

 E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:


De:
O endereço do remetente é falsificado.


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
Um dos seguintes:
   • Anzeige ist erstatet; BundesKriminalAmt; Ermittlungsverfahren wurde
      eingeleitet; Es ist AUS!; Gewonnen? GeWONNEN!; Guten Tag! Hier sind
      ihre WM Tickets!; Hallo!; Hoer auf damit!; Holen sie jetzt ihre WM
      Tickets ab!; Holen sie sich WM Tickets fuer das Finalle JETZT!; Ich
      zeige dich an!; Ich Zeige sie an!; Ihre Akte!; Ihre IP wurde geloggt!;
      JehhuuuU! WWWMMMM!!; Komme mit!; Sie besitzen Raubkopien; Sie
      betrueger!; Sie haben WM Tickets gewonnen!; Sie kommen ins Knast!;
      Warum machst du das?; Weltmeisterschaft!; WM Tickets!



Corpo:
O corpo do email é um dos seguintes:

   • Sehr geehrte Damen und Herren,
     
     vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen und ich wuerde sie gern Fragen wie es dazu kam. Iich danke Ihnen, aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne Sie nicht und Sie kennen mich nicht.
     
     Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet 035/98276590
     
     Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich aus versehentlichen Gruenden ein Password darauf gelegt, er lautet %uma série de caracteres aleatórios%
     
     Mit Freundlichen Gruessen
     Manfred Schmidt

   • Sehr geehrte Damen und Herren,
     
     warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
     Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
     
     In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
     Password dafuer lautet %uma série de caracteres aleatórios%
     
     Mit freundlichen Gruessen
     Gerhard Meyer

   • Sehr geehrte Damen und Herren,
     
     ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden. Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.
     
     In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet %uma série de caracteres aleatórios%
     
     Mit freundlichen Gruessen
     Ingrid Behnke

   • Sehr geehrte Damen und Herren,
     
     ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken. Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.
     
     Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet %uma série de caracteres aleatórios%
     
     Mit freundlichen Gruessen
     
     Anne Flachman

   • Hi,
     
     thx das du Geld an mich schicks, aber kannste damit auf hoeren?
     
     Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: %uma série de caracteres aleatórios%
     
     mfg Henry

   • Hallo,
     
     sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine Posdbank Account. Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
     
     Hier eine Anhang mit der Ueberweisung. Password dafuer lautete %uma série de caracteres aleatórios%
     
     Have a nice day
     John Walthers

   • Sehr geehrte Damen und Herren,
     
     wir laden Sie rechtherzlich zu unseren «Gewinne WM Tickets» Aktion. Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen. Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.
     
     Das Kennwort fuer den Formular lautet %uma série de caracteres aleatórios%
     
     Herzlichen Dank
     Bathe Maune

   • Sehr geehrte Damen und Herren,
     
     Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei! Verpassen Sie ihre einmalige Chance nicht!
     
     Anhangspassword: %uma série de caracteres aleatórios%
     
     Mit freundlichen Gruessen
     Lotto-GDI GmbH

   • Hi man,
     
     ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
     
     Password zu dem Archiv lautet %uma série de caracteres aleatórios%
     
     Mfg Niemand ;)

   • Hi sexgott ich bin so geil das ich nicht mehr kann
     
     hier ein paar fotos wie ich grade abgehe!
     
     das password fuer die fotos ist: %uma série de caracteres aleatórios%
     
     Gruesse Monica

   • Oh BABY!!!
     
     Ich bin so geil bitte fick mich
     
     meine muschi leuft aus ich will dich o bitte bitttte.........
     
     hofffendlich bist du auch Geil wenn du meine Pics siehst :P
     
     habe dir paar neue mitgeschickt
     
     das password ist: %uma série de caracteres aleatórios%
     
     bye bye

   • Sehr geehrte Damen und Herren,
     
     warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
     Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
     
     In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
     Password dafuer lautet %uma série de caracteres aleatórios%
     
     Mit freundlichen Gruessen
     Gerhard Meye

   • Hi,
     
     thx das du Geld an mich schicks, aber kannste damit auf hoeren?
     
     Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: %uma série de caracteres aleatórios%
     
     mfg Henry

   • Sehr geehrte Damen und Herren,
     
     Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei! Verpassen Sie ihre einmalige Chance nicht!
     
     Anhangspassword: %uma série de caracteres aleatórios%
     
     Mit freundlichen Gruessen
     Lotto-GDI GmbH

   • Hi man,
     
     ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
     
     Password zu dem Archiv lautet %uma série de caracteres aleatórios%
     
     Mfg Niemand ;)

   • Hallo Albert
     
     Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen! Die fotos sind mit der emial
     
     das password hab ich raufgemacht es lautet: %uma série de caracteres aleatórios%

   • Sehr geehrte Dame, sehr geehrter Herr,
     
     das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
     
     Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.
     
     Aktenzeichen NR.:
      (siehe Anhang)
     
     ACHTUNG: der Anhang ist Password geschuetzt
     
     der Password fuer den Anhang (ihre Akte)
     
     lautet: %uma série de caracteres aleatórios%
     
     bitte vergessen sie ihn nicht
     
     Hochachtungsvoll
     
     i.A. Juergen Stock
     
     --- Bundeskriminalamt BKA
     --- Referat LS 2
     --- 65173 Wiesbaden
     --- Tel.: +49 (0)611 - 55 - 12331 oder
     --- Tel.: +49 (0)611 - 55 - 0


Atalho:
O ficheiro de atalho tem um dos seguintes nomes:
   • Abbild-Der-Rechnung.zip; akte.zip; Anhang.zip; Anhang-Tickets.zip;
      anklage.zip; Anklage-Material.zip; anklageschrift.zip; Anzeige.zip;
      archiv.zip; bescheinigung.zip; beweise.zip; bild01.zip; Desktop.zip;
      fick_mich.zip; fickmich.zip; fotze.zip; free_pics.zip;
      free_videos.zip; geil.zip; ich_lauf_aus.zip; ichbingeil.zip;
      ihre_akte.zip; IhrEnde.zip; Kontoauszug.zip; Kopien.zip; meinbild.zip;
      meine_moese.zip; mypics.zip; New Folder.zip; Rechnung.zip;
      Rechnung-Anhang.zip; reklament.zip; sexy.zip; Tickets.zip;
      Ueberweisung.zip; Weltmeisterschaft.zip; WM.zip; WM-Anhang.zip;
      WM-Tickets.zip; vorladung.zip

O ficheiro de atalho contém uma cópia do próprio malware.



O email pode ser parecido com o seguinte:


 Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • .wab; .tbb; .tbi; .doc; .xls; .txt; .csv; .htm; .html; .xml; .adb;
      .asa; .asc; .asm; .asp; .cgi; .con; .csp; .dbx; .dlt; .dwt; .edm;
      .hta; .htc; .inc; .jsp; .jst; .lbi; .php; .rdf; .rss; .sht; .ssi;
      .stm; .vbp; .vbs; .wml; .xht; .xsd; .xst


Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • admin; info; support; soft; webmaster; help; web; postmaster; root;
      bugs; rating; site; contact; privacy; serviceabuse; register; sales;
      cisco; gnu.org; bsd.it; debian; linux; berkeley; google; fido;
      ibm.com; microsoft.com; php.net; .mil; .gov; borland.com; sun.com;
      xinul.com; virus; kaspersky; sophos; ripe.; iana.; drweb.; secure;
      avp.; .arpa

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Exploit:
Faz uso do seguinte Exploit:
– MS04-007 (ASN.1 Vulnerability)


Criação de endereços IP:
Cria endereços IP aleatórios enquanto mantém os primeiros dois octetos do seu próprio endereço. Depois tenta estabelecer uma ligação com os endereços criados.

 Backdoor É aberta a seguinte porta:

%SYSDIR%\winlogon.exe numa porta TCP 1507 Por forma a fornecer um servidor HTTP.


Contacta o servidor:
Seguintes:
   • 5d**********.net/mmm/register.php?
   • 7st**********.biz/mmm/register.php?
   • 7stick.info/mmm/register.php?
   • branch**********.biz/mmm/register.php?
   • branch**********.net/mmm/register.php?
   • frach**********.com/mmm/register.php?
   • frach**********.info/mmm/register.php?
   • mon**********.com/mmm/register.php?
   • ola**********.com/mmm/register.php?
   • ola**********.net/mmm/register.php?

Como resultado pode enviar alguma informação. Isto é feito usando o método HTTP GET através de scripts PHP.


Envia informação sobre:
    • Tempo de vida do malware
    • Informação sobre o sistema operativo Windows

 Introdução de código viral noutros processos –  Introduz o seguinte ficheiro num processo: %SYSDIR%\mszsrn32.dll

    Nome do processo:
   • winlogon.exe


Descrição enviada por Irina Boldea em segunda-feira, 17 de julho de 2006
Descrição atualizada por Irina Boldea em segunda-feira, 31 de julho de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.