Win32/Banwarum [Threat Name] go to Threat

Win32/Banwarum.NAB [Threat Variant Name]

Category	worm
Size	46626 B
Aliases	Email-Worm.Win32.Banwarum.a (Kaspersky)
	W32.Banwarum@mm (Symantec)
	Win32.HLLM.Rancheg (Dr.Web)

Short description

Win32/Banwarum.NAB is a worm that spreads via e-mail.

Installation

When executed the worm drops in folder %system% the following file:

mszsrn32.dll (40448 B)

In order to be executed on every system start, the worm sets the following Registry entries:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mszsrn32]
- "DllName" = "%system%\mszsrn32.dll"
- "Startup" = "Startup"
- "Asynchronous" = 1
- "Impersonate" = 0
- "Type" = 2
- "SystemId" = %variable1%
- "ConfSaved" = %variable2%
- "NoScan" = %variable3%

Spreading via e-mail

Win32/Banwarum.NAB is a worm that spreads via e-mail.

E-mail addresses for further spreading are searched for in local files with the following extension:

.adb
.asa
.asc
.asm
.asp
.cgi
.con
.csp
.csv
.dbx
.dlt
.doc
.dwt
.edm
.hta
.htc
.htm
.html
.inc
.jsp
.jst
.lbi
.php
.rdf
.rss
.sht
.ssi
.stm
.tbb
.tbi
.txt
.vbp
.vbs
.wab
.wml
.xht
.xls
.xml
.xsd
.xst

Addresses containing the following strings are avoided:

.arpa
.gov
.mil
abuse
admin
avp.
berkeley
borland.com
bsd.it
bugs
cisco
contact
debian
drweb.
fido
gnu.org
google
help
iana.
ibm.com
info
kaspersky
linux
microsoft.com
php.net
postmaster
privacy
rating
register
ripe.
root
secure
service
site
soft
sophos
sun.com
support
virus
web
webmaster

The sender's address is spoofed.

Subject of the message is one of the following:

1000 Euro von der Postbank
Anzeige ist erstatet
Betrueg bitte deine Frau mit mir!
Bitte stoppen Sie es
Bums eine Schwarze und gewinne WM-Karten!
Bums mein Arsch!
BundesKriminalAmt
Das Geld das nicht mir gehoert
Du bist mein Sexgott!
Du machst mich so Geil!
Du Sexgott!
Ermittlungsverfahren wurde eingeleitet
Es ist AUS!
Es ist ein Missverstaendnis geschehen
Es leuft mir schon das bein Runter Honey!
Falscher Adressant
Falschueberweisung
Fasches Bankkonto
Fick mein Po!
Ficke meine Brust!
Geld
Geld von Postbank
Geldueberweisungen
Gewonnen? GeWONNEN!
Guten Tag! Hier sind ihre WM Tickets!
Hallo!
Hoer auf damit!
Holen sie jetzt ihre WM Tickets ab!
Holen sie sich WM Tickets fuer das Finalle JETZT!
Ich bin dauergeill warum?
Ich hab die neuen Fotos Fertig!
Ich hab ihr Geld.
Ich habe Geld von ihren Postbank Konto bekommen
Ich lauf aus bitte leck mich!
Ich liebe dich!
Ich zeige dich an!
Ich Zeige sie an!
Ihr Geld
Ihre Akte!
Ihre Auszahlungen an mich
Ihre IP wurde geloggt!
JehhuuuU! WWWMMMM!!
Komme mit!
Lass dich Umsonst Wixen! Nur ab 18 Jahren!
Missueberweisungen
Nimm mich durch mein Schadz!
Postbank
Postbank Ueberweisungen
Sie besitzen Raubkopien
Sie betrueger!
Sie haben WM Tickets gewonnen!
Sie kommen ins Knast!
Treibs mit einer schlampe!
Uberweisungen
Ueberweisung an einen falschen Adressanten
Umsonst mein Arschficken ab 18 Jahren!
Warum machst du das?
Warum schicken sie mir Geld?
Weltmeisterschaft!
WM Tickets!

Body of the message is one of the following:

Sehr geehrte Dame, sehr geehrter Herr,
- das Herunterladen von Filmen, Software und MP3s ist illegal und
- somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass
- Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner
- wurde als Beweismittel sichergestellt und es wird ein
- Ermittlungsverfahren gegen Sie eingleitet.
- Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird
- Ihnen in den naechsten Tagen schriftlich zugestellt.
- Aktenzeichen NR.:# (siehe Anhang)
- ACHTUNG: der Anhang ist Password geschuetzt
- der Password fuer den Anhang (ihre Akte)
- lautet: [%password%]
- bitte vergessen sie ihn nicht
- Hochachtungsvoll
- i.A. Juergen Stock
- --- Bundeskriminalamt BKA
- --- Referat LS 2
- --- 65173 Wiesbaden
- --- Tel.: +49 (0)611 - 55 - 12331 oder
- --- Tel.: +49 (0)611 - 55 - 0
Guten Tag sehr geehrte Damen und Herren!
- Meine Web-Site zeichnete Angriffe von ihrer IP Auf
- Ich habe mich bei T-Com beschwert und ihre Email bekommen
- bitte unterlassen sie alle angriffe auf meine Web-Site
- die Anzeige ist erstatet! Die anklage schrift hab ich der Email beigefuegt.
- Password fuer die Anklageschrift lautet: [%password%]
- mfg
- Karl Stein
Tina es ist schluss!
- Unterlasse es mir die fotos zu schicken
- wir sind nicht mehr zusammen und ich will dich
- nicht mehr nackt sehen!
- Ich habe dich Angezeigt weil das einfach zu weit geht tut mir leid!
- Deine Fotos und die Kopie der Anzeige hab ich in der Email beigefuegt!
- damit deine Intimen fotos keiner sieht hab ich einen password rauf gemacht
- das password ist dein Name: [%password%]
- schreib nicht zurueck
- Alexei
Sehr geehrte Frau Tisha
- das Zuspammen von meiner Email mir ihren nacktfotos
- bleibt nicht unbemerkt.
- Heute Morgen erstattete ich eine Anzeige bei der BKA Wiesbaden!
- Meinen Anwahlt wurde die sache uebergeben!
- Ich moechte mit ihnen nicht zu tunn haben und ihre Nacktfotos
- schick ich ihnen mit der Anklageschrift zurueck!
- Die fotos und das schreiben hab ich der Email beigefuegt,
- dass password lautet: [%password%]
- Bitte keine Fotos und Emails mehr
- mfg
- Kresen
Warum drohen sie mir hab ich ihnen was getann?
- Ich wusste schon lange das Schwarze nicht erweunscht sind!
- Ich habe sie bei der Polizei angezeigt sie werden sich um sie kuemern
- ich habe der email einen Anhang beigefuergt da drinne ist eine Kopie
- der Anzeige
- das password fuer die Anzeige lautet: [%password%]
- mfg
- Ublaskar
Wir werden sehen ich sperre mich ein!
- Sie drohen mir das sie mich aufschlitzen wollen?
- Ich habe sie gestern Angeziegt und stehe unter Polizei schutz!
- Hier die letzte mahnung hab ich der Email beigefuegt!
- das Password lautet: [%password%]
- Werner Blass
Die nacktfotos die ich von ihnen bekamm leitete ich an das Kriminal Amt weiter!
- Das ist Sexuelle belastigung!
- Sie bekommen eine Anzeige und eine geldschtraffe
- melden sie sich in den naexten tagen bei der Polzei!
- Die vorladung und die Fotos als beweis hab ich der Email beigefuegt
- das password ist : [%password%]
- Emilion Volks
Hi Schadz ich schreib aus den Inet cafe in Muenchen
- meine neuen Fotos sind fertig und ich vermisse dich!
- Die fotos sind gut geweorden ich hab das alles nur dier zuliebe getann
- und das weisst du!
- Die Fotos hab ich der Email beigefuegt ich hoffe du bist zufrieden
- ah ja und damit sie keiner ausser die oefnet hab ich ein password
- drauf gemacht das password ist mein name also: [%password%]
- Mit liebe Monica
Hi sexgott ich bin so geil das ich nicht mehr kann
- hier ein paar fotos wie ich grade abgehe!
- das password fuer die fotos ist: [%password%]
- Gruesse Monica
Warum bin ich so dauergeil immer muss ich mir was in die MuMu reinschieben
- ist das vieleicht ungesund wenn ich dir banane rein tue sie fuelt sich so gut an
- was meinst du?
- Guck dir meine Fotos an und sag bescheid!
- das Password fuer die fotos ist: [%password%]
- geilen gruss
- Tina
Oh BABY!!!
- Ich bin so geil bitte fick mich
- meine muschi leuft aus ich will dich o bitte bitttte.........
- hofffendlich bist du auch Geil wenn du meine Pics siehst :P
- habe dir paar neue mitgeschickt
- das password ist: [%password%]
- bye bye
Ja ich bin deine HERRIN
- aber du darfst trozdem mein Hintern ficken
- ich weiss nicht warum aber das fuelt sich ueber geil an
- mach das baby oder hast du keine lust?
- Guck dir meine fotos an du wirst schon lust bekommen
- das password fuer die pics ist: [%password%]
- cya dein bussi
Hi honey
- wie findest du eigendlich das das deine Schwester so Rumhurt?
- ich mag sie voll gerne aber sie hat Robert den Afganer auf party ein geblasen
- und Tina hat das mit der kamera aufgenommen
- es ist deine sache ob du das deinen Eltern zeigst aber das video schick ich dir
- das password dafuer ist : [%password%]
- Alles liebe
Warum betruegst du Albert?
- Ich hab mir dir geschlafen und habe alles getann was du wolltest und du
- du ficks meine schwester wo ich Zwei tage zu Mama wegfahre?
- Du bist der groesste Arschloch und es ist vorbei!
- das video hat mir Tina geschickt wo du mit ihr gepoppt hast und wie ihr das aufgenommen habt
- das ist das Beweis und du wirst es noch sehen!
- Das video schick ich mit der Email
- das password was ich darauf gemacht habe ist: [%password%]
- Fick dich
- Helena
Hallo Albert
- Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du
- mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen!
- Die fotos sind mit der emial
- das password hab ich raufgemacht es lautet: [%password%]
Willst du WM tickets gewinnen?
- Dann sende uns eine ausgefueltte kopie des Geweinnzettel und wir schicken dir
- 2 Tickets fuer das Finalle!
- Der geweinnzettel ist beigefuegt!
- Ihr persoenliches password lautet: [%password%]
- Ihr WM Team
Sehr geehrte Damen und Herren,
- vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen und ich wuerde sie gern Fragen wie es dazu kam.
- Iich danke Ihnen, aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne Sie nicht und Sie kennen mich nicht.
- Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet 035/98276590
- Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich aus versehentlichen Gruenden ein Password darauf gelegt, er lautet [%password%]
- Mit Freundlichen Gruessen
- Manfred Schmidt
Sehr geehrte Damen und Herren,
- seit Gestern bekomme ich andauernt Geld von Ihnen, ich danke sehr, aber ich glaube es ist ein Fehler unterlaufen.
- Ich habe ein Konto bei der Postbank und es lautet 48756830000443 Bankleitzahl: 94775775
- Bitte ueberpruefen Sie ihre Auszahlungen und rufen sie mich unter folgender
- Nummer an 056/48576887 damit wir besprechen koennen wie ich Ihr Geld zurueckzahlen koennte.
- In dem Anhang habe ich eine Kopie der Ueberweisung gemacht, Kennwort fuer das Archiv lautet [%password%]
- Mit freundlichen Gruessen
- Mattias Botcher
Sehr geehrte Damen und Herren,
- warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
- Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
- In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
- Password dafuer lautet [%password%]
- Mit freundlichen Gruessen
- Gerhard Meyer
Sehr geehrte Damen und Herren,
- ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden.
- Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.
- In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet [%password%]
- Mit freundlichen Gruessen
- Ingrid Behnke
Sehr geehrte Damen und Herren,
- ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken.
- Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.
- Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet [%password%]
- Mit freundlichen Gruessen
- Anne Flachman
Hi,
- thx das du Geld an mich schicks, aber kannste damit auf hoeren?
- Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: [%password%]
- mfg Henry
Hallo,
- sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine Posdbank Account.
- Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
- Hier eine Anhang mit der Ueberweisung. Password dafuer lautete [%password%]
- Have a nice day
- John Walthers
Sehr geehrte Damen und Herren,
- wir laden Sie rechtherzlich zu unseren «Gewinne WM Tickets» Aktion. Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen.
- Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.
- Das Kennwort fuer den Formular lautet [%password%]
- Herzlichen Dank
- Bathe Maune
Sehr geehrte Damen und Herren,
- Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei!
- Verpassen Sie ihre einmalige Chance nicht!
- Anhangspassword: [%password%]
- Mit freundlichen Gruessen
- Lotto-GDI GmbH
Hi, du hast mich mal bei irgendeinem Online-Dating, ich hab gesagt du bist haesslich und geblockt, Sorry,..
- Du bist nicht haesslich, ich war einfach mies drauf. Ich will es wiedergut machen, lade dich damit zu WM, Tickets habe ich ins Attach gelegt,
- entpacke es und druecks aus. Password fuer den Archiv lautet [%password%]
- mfg Nadine
Hi man,
- ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache.
- Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
- Password zu dem Archiv lautet [%password%]
- Mfg Niemand ;)
Sehr geehrte Damen und Herren,
- Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem Ultimativen Ticket koennen sie so viele wie sie wollen zu dem WM Spiel einladen!
- Alles was sie zu machen brauchen ist diesen einen Anhang entpacken und ihre Unterschriften darauf schreiben. Das Kennwort fuer den Anhang lautet [%password%]
- Mit freundlichen Gruessen
- WM – Free Tickets Organisation (kurz gesch. WMFTO)
Sehr geehrte Damen und Herren,
- ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie gekauft, aber wie es sich rausstellte koennen wir wegen politischen
- Hintergrunden nicht an WM teilnehmen. Deswegen bekommen sie es jetzt. Brauchen sie jetzt nicht zu danken, denn wenn sie jetzt diesen Brief lesen,
- sind wir schon in einem anderen Land.
- Die Tickets koennen Sie an der Siemens Rezeption abholen, hierzu benoetigte Adresse Habichstra?e 356, Koeln.
- Wir wuenschen ihnen von der ganzen Familie gutes Spiel.
- In dem Anhang haben sie ein Foto von den Tickets, Password fuer den Archiv lautet [%password%]
- Mit freundlichen Gruessen
- Salim Heraldulkalam
Sehr geehrte Damen und Herren,
- danke das Sie bei unserer Lotterie mitgemacht haben, und wir wollen sie damit benachrichtigen, dass Sie GEWONNEN HABT!
- Alles was jetzt noch zu machen ist, schnell die Tickets ausfuellen und zu WM gehen!
- Dateianhangspassword: [%password%]
- Mit freundlichen Gruessen
- Lotterie-NOD GmbH

A string with variable content is used instead of [%password%] .

The attachment is a archive containing the . It is password protected. The password is randomly generated. The password is included in message body.

Its filename is one of the following:

Abbild-Der-Rechnung.rar
Abbild-Der-Rechnung.zip
Anhang.rar
Anhang.zip
Anhang-Tickets.rar
Anhang-Tickets.zip
anklage.rar
anklage.zip
Anklage-Material.rar
Anklage-Material.zip
anklageschrift.rar
anklageschrift.zip
Anzeige.rar
Anzeige.zip
archiv.rar
archiv.zip
Auszahlungen.rar
Auszahlungen.zip
bank-kontoauszuge.rar
bank-kontoauszuge.zip
bescheinigung.rar
bescheinigung.zip
beweise.rar
beweise.zip
bild01.rar
bild01.zip
Desktop.rar
Desktop.zip
fick_mich.rar
fick_mich.zip
fickmich.rar
fickmich.zip
fotze.rar
fotze.zip
free_pics.rar
free_pics.zip
free_videos.rar
free_videos.zip
geil.rar
geil.zip
ich_lauf_aus.rar
ich_lauf_aus.zip
ichbingeil.rar
ichbingeil.zip
ihre_akte.rar
ihre_akte.zip
IhrEnde.rar
IhrEnde.zip
Kontoauszug.rar
Kontoauszug.zip
Kopien.rar
Kopien.zip
meinbild.rar
meinbild.zip
meine_moese.rar
meine_moese.zip
mypics.rar
mypics.zip
Neuer Ordner.rar
Neuer Ordner.zip
New Folder.rar
New Folder.zip
Postbank.rar
Postbank.zip
Postbank-Ueberweisungen.rar
Postbank-Ueberweisungen.zip
Rechnung.rar
Rechnung.zip
Rechnung-Anhang.rar
Rechnung-Anhang.zip
reklament.rar
reklament.zip
sexy.rar
sexy.zip
Tickets.rar
Tickets.zip
Ueberweisung.rar
Ueberweisung.zip
vorladung.rar
vorladung.zip
Weltmeisterschaft.rar
Weltmeisterschaft.zip
WM-Anhang.rar
WM-Anhang.zip
WM-Tickets.rar
WM-Tickets.zip

Other information

The worm acquires data and commands from a remote computer or the Internet.

The worm connects to the following addresses:

5dime.net
7stick.biz
7stick.info
brancholania.biz
brancholania.net
frachetto.com
frachetto.info
monti2.com
olania.com
olania.net

It can execute the following operations:

download files from a remote computer and/or the Internet
run executable files
perform DoS/DDoS attacks
update itself to a newer version
perform port scanning