Security Lab

Email-Worm.Win32 Banwarum.a

Email-Worm.Win32 Banwarum.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Также вирус распространяется, используя уязвимость Microsoft Windows LSASS ( MS04-011 ).

Является приложением Windows (PE EXE-файл), имеет размер около 46 КБ.

Червь содержит в себе функцию бэкдора.

Инсталляция

После запуска червь создает в системном каталоге Windows файл с именем mszsrn32.dll:

%System%\mszsrn32.dll

Данный DLL-файл встраивается в процесс winlogon.exe для того, чтобы скрыть свою активность от пользователя зараженного компьютера.

Также червь создает следующие записи в системном реестре:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mszsrn32]
"Asynchronous"="1"
"DllName"="%System%\mszsrn32.dll"
"Impersonate"="0"
"Startup"="Startup"
"Type"="2"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Червь создает уникальный идентификатор «Worm.Win32.Zasrancheg» для определения своего присутствия в системе.

Распространение по сети

Червь запускает процедуры выбора IP-адресов для атаки и, в случае наличия на атакуемой машине уязвимости LSASS, запускает на удаленной машине свой код.

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

adb
asa
asc
asm
asp
cgi
con
csp
csv
dbx
dlt
doc
dwt
edm
hta
htc
htm
html
inc
jsp
jst
lbi
php
rdf
rss
sht
ssi
stm
tbb
tbi
txt
vbp
vbs
wab
wml
xht
xls
xml
xsd
xst

При этом червем игнорируются адреса, содержащие следующие подстроки:

abuse
admin
arpa
avp.
berkeley
borland.com
bsd.it
bugs
cisco
contact
debian
drweb.
fido
gnu.org
google
gov
help
iana.
ibm.com
info
kaspersky
linux
microsoft.com
mil
php.net
postmaster
privacy
rating
register
ripe.
root
secure
service
site
soft
sophos
sun.com
support
virus
web
webmaster

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Тема письма:

Выбирается из списка:

  • 1000 Euro von der Postbank
  • Akte
  • Anzeige ist erstatet
  • Betrueg bitte deine Frau mit mir!
  • Bitte stoppen Sie es
  • Bums eine Schwarze und gewinne WM-Karten!
  • Bums mein Arsch!
  • BundesKriminalAmt
  • Das Geld das nicht mir gehoert
  • Du bist mein Sexgott!
  • Du machst mich so Geil!
  • Du Sexgott!
  • Ermittlungsverfahren wurde eingeleitet
  • Es ist AUS!
  • Es ist ein Missverstaendnis geschehen
  • Es leuft mir schon das bein Runter Honey!
  • Falscher Adressant
  • Falschueberweisung
  • Fasches Bankkonto
  • Fick mein Po!
  • Ficke meine Brust!
  • Geld
  • Geld von Postbank
  • Geldueberweisungen
  • Gewonnen? GeWONNEN!
  • Guten Tag! Hier sind ihre WM Tickets!
  • Hallo!
  • Hoer auf damit!
  • Holen sie jetzt ihre WM Tickets ab!
  • Holen sie sich WM Tickets fuer das Finalle JETZT!
  • Ich bin dauergeill warum?
  • Ich hab die neuen Fotos Fertig!
  • Ich hab ihr Geld.
  • Ich habe Geld von ihren Postbank Konto bekommen
  • Ich lauf aus bitte leck mich!
  • Ich liebe dich!
  • Ich zeige dich an!
  • Ich Zeige sie an!
  • Ihr Geld
  • Ihre Akte!
  • Ihre Auszahlungen an mich
  • Ihre IP wurde geloggt!
  • JehhuuuU! WWWMMMM!!
  • Komme mit!
  • Lass dich Umsonst Wixen! Nur ab 18 Jahren!
  • Missueberweisungen
  • Nimm mich durch mein Schadz!
  • Postbank
  • Postbank Ueberweisungen
  • Sie besitzen Raubkopien
  • Sie betrueger!
  • Sie haben WM Tickets gewonnen!
  • Sie kommen ins Knast!
  • Treibs mit einer schlampe!
  • Uberweisungen
  • Ueberweisung an einen falschen Adressanten
  • Umsonst mein Arschficken ab 18 Jahren!
  • Warum machst du das?
  • Warum schicken sie mir Geld?
  • Weltmeisterschaft!
  • WM Tickets!

Текст письма:

Текст письма выбирается произвольным образом из списка:

  • Sehr geehrte Dame, sehr geehrter Herr,

    das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

    Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.

    Aktenzeichen NR.:# (siehe Anhang)

    ACHTUNG: der Anhang ist Password geschuetzt

    der Password fuer den Anhang (ihre Akte)

    lautet: <случайные символы>

    bitte vergessen sie ihn nicht

    Hochachtungsvoll

    i.A. Juergen Stock

    --- Bundeskriminalamt BKA --- Referat LS 2 --- 65173 Wiesbaden --- Tel.: +49 (0)611 - 55 - 12331 oder --- Tel.: +49 (0)611 - 55 - 0

  • Guten Tag sehr geehrte Damen und Herren!

    Meine Web-Site zeichnete Angriffe von ihrer IP Auf

    Ich habe mich bei T-Com beschwert und ihre Email bekommen

    bitte unterlassen sie alle angriffe auf meine Web-Site

    die Anzeige ist erstatet! Die anklage schrift hab ich der Email beigefuegt.

    Password fuer die Anklageschrift lautet: <случайные символы>

    mfg

    Karl Stein

  • Tina es ist schluss!

    Unterlasse es mir die fotos zu schicken wir sind nicht mehr zusammen und ich will dich nicht mehr nackt sehen!

    Ich habe dich Angezeigt weil das einfach zu weit geht tut mir leid!

    Deine Fotos und die Kopie der Anzeige hab ich in der Email beigefuegt!

    damit deine Intimen fotos keiner sieht hab ich einen password rauf gemacht

    das password ist dein Name: <случайные символы>

    schreib nicht zurueck

    Alexei

  • Sehr geehrte Frau Tisha

    das Zuspammen von meiner Email mir ihren nacktfotos bleibt nicht unbemerkt.

    Heute Morgen erstattete ich eine Anzeige bei der BKA Wiesbaden!

    Meinen Anwahlt wurde die sache uebergeben!

    Ich moechte mit ihnen nicht zu tunn haben und ihre Nacktfotos

    schick ich ihnen mit der Anklageschrift zurueck!

    Die fotos und das schreiben hab ich der Email beigefuegt,

    dass password lautet: <случайные символы>

    Bitte keine Fotos und Emails mehr

    mfg

    Kresen

  • Warum drohen sie mir hab ich ihnen was getann?

    Ich wusste schon lange das Schwarze nicht erweunscht sind!

    Ich habe sie bei der Polizei angezeigt sie werden sich um sie kuemern

    ich habe der email einen Anhang beigefuergt da drinne ist eine Kopie der Anzeige

    das password fuer die Anzeige lautet: <случайные символы>

    mfg

    Ublaskar

  • Wir werden sehen ich sperre mich ein!

    Sie drohen mir das sie mich aufschlitzen wollen?

    Ich habe sie gestern Angeziegt und stehe unter Polizei schutz!

    Hier die letzte mahnung hab ich der Email beigefuegt!

    das Password lautet: <случайные символы>

    Werner Blass

  • Die nacktfotos die ich von ihnen bekamm leitete ich an das Kriminal Amt weiter!

    Das ist Sexuelle belastigung!

    Sie bekommen eine Anzeige und eine geldschtraffe

    melden sie sich in den naexten tagen bei der Polzei!

    Die vorladung und die Fotos als beweis hab ich der Email beigefuegt

    das password ist : <случайные символы>

    Emilion Volks

  • Hi Schadz ich schreib aus den Inet cafe in Muenchen

    meine neuen Fotos sind fertig und ich vermisse dich!

    Die fotos sind gut geweorden ich hab das alles nur dier zuliebe getann und das weisst du!

    Die Fotos hab ich der Email beigefuegt ich hoffe du bist zufrieden

    ah ja und damit sie keiner ausser die oefnet hab ich ein password

    drauf gemacht das password ist mein name also: <случайные символы>

    Mit liebe Monica

  • Hi sexgott ich bin so geil das ich nicht mehr kann

    hier ein paar fotos wie ich grade abgehe!

    das password fuer die fotos ist: <случайные символы>

    Gruesse Monica

  • Warum bin ich so dauergeil immer muss ich mir was in die MuMu reinschieben

    ist das vieleicht ungesund wenn ich dir banane rein tue sie fuelt sich so gut an

    was meinst du?

    Guck dir meine Fotos an und sag bescheid!

    das Password fuer die fotos ist: <случайные символы>

    geilen gruss

    Tina

  • Oh BABY!!!

    Ich bin so geil bitte fick mich

    meine muschi leuft aus ich will dich o bitte bitttte.........

    hofffendlich bist du auch Geil wenn du meine Pics siehst :P

    habe dir paar neue mitgeschickt

    das password ist: <случайные символы>

    bye bye

  • Ja ich bin deine HERRIN

    aber du darfst trozdem mein Hintern ficken

    ich weiss nicht warum aber das fuelt sich ueber geil an

    mach das baby oder hast du keine lust?

    Guck dir meine fotos an du wirst schon lust bekommen

    das password fuer die pics ist: <случайные символы>

    cya dein bussi

  • Hi honey

    wie findest du eigendlich das das deine Schwester so Rumhurt?

    ich mag sie voll gerne aber sie hat Robert den Afganer auf party ein geblasen

    und Tina hat das mit der kamera aufgenommen

    es ist deine sache ob du das deinen Eltern zeigst aber das video schick ich dir

    das password dafuer ist : <случайные символы>

    Alles liebe

  • Warum betruegst du Albert?

    Ich hab mir dir geschlafen und habe alles getann was du wolltest und du du ficks meine schwester wo ich Zwei tage zu Mama wegfahre?

    Du bist der groesste Arschloch und es ist vorbei!

    das video hat mir Tina geschickt wo du mit ihr gepoppt hast und wie ihr das aufgenommen habt

    das ist das Beweis und du wirst es noch sehen!

    Das video schick ich mit der Email

    das password was ich darauf gemacht habe ist: <случайные символы>

    Fick dich

    Helena

  • Hallo Albert

    Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen! Die fotos sind mit der emial

    das password hab ich raufgemacht es lautet: <случайные символы>

  • Willst du WM tickets gewinnen?

    Dann sende uns eine ausgefueltte kopie des Geweinnzettel und wir schicken dir 2 Tickets fuer das Finalle!

    Der geweinnzettel ist beigefuegt!

    Ihr persoenliches password lautet: <случайные символы>

    Ihr WM Team

  • Sehr geehrte Damen und Herren,

    vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen und ich wuerde sie gern Fragen wie es dazu kam. Iich danke Ihnen, aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne Sie nicht und Sie kennen mich nicht.

    Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet 035/98276590

    Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich aus versehentlichen Gruenden ein Password darauf gelegt, er lautet <случайные символы>

    Mit Freundlichen Gruessen
    Manfred Schmidt

  • Sehr geehrte Damen und Herren,

    seit Gestern bekomme ich andauernt Geld von Ihnen, ich danke sehr, aber ich glaube es ist ein Fehler unterlaufen. Ich habe ein Konto bei der Postbank und es lautet 48756830000443 Bankleitzahl: 94775775

    Bitte ueberpruefen Sie ihre Auszahlungen und rufen sie mich unter folgender
    Nummer an 056/48576887 damit wir besprechen koennen wie ich Ihr Geld zurueckzahlen koennte.

    In dem Anhang habe ich eine Kopie der Ueberweisung gemacht, Kennwort fuer das Archiv lautet <случайные символы>

    Mit freundlichen Gruessen
    Mattias Botcher

  • Sehr geehrte Damen und Herren,

    warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
    Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437

    In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
    Password dafuer lautet <случайные символы>

    Mit freundlichen Gruessen
    Gerhard Meyer

  • Sehr geehrte Damen und Herren,

    ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden. Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.

    In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet <случайные символы>

    Mit freundlichen Gruessen
    Ingrid Behnke

  • Sehr geehrte Damen und Herren,

    ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken. Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.

    Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet <случайные символы>

    Mit freundlichen Gruessen

    Anne Flachman

  • Hi,

    thx das du Geld an mich schicks, aber kannste damit auf hoeren?

    Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: <случайные символы>

    mfg Henry

  • Hallo,

    sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine Posdbank Account. Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.

    Hier eine Anhang mit der Ueberweisung. Password dafuer lautete <случайные символы>

    Have a nice day
    John Walthers

  • Sehr geehrte Damen und Herren,

    wir laden Sie rechtherzlich zu unseren «Gewinne WM Tickets» Aktion. Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen. Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.

    Das Kennwort fuer den Formular lautet <случайные символы>

    Herzlichen Dank
    Bathe Maune

  • Sehr geehrte Damen und Herren,

    Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei! Verpassen Sie ihre einmalige Chance nicht!

    Anhangspassword: <случайные символы>

    Mit freundlichen Gruessen
    Lotto-GDI GmbH

  • Hi, du hast mich mal bei irgendeinem Online-Dating, ich hab gesagt du bist haesslich und geblockt, Sorry,.. Du bist nicht haesslich, ich war einfach mies drauf. Ich will es wiedergut machen, lade dich damit zu WM, Tickets habe ich ins Attach gelegt, entpacke es und druecks aus. Password fuer den Archiv lautet <случайные символы>

    mfg Nadine

  • Hi man,

    ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache. Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.

    Password zu dem Archiv lautet <случайные символы>

    Mfg Niemand ;)

  • Sehr geehrte Damen und Herren,

    Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem Ultimativen Ticket koennen sie so viele wie sie wollen zu dem WM Spiel einladen! Alles was sie zu machen brauchen ist diesen einen Anhang entpacken und ihre Unterschriften darauf schreiben. Das Kennwort fuer den Anhang lautet <случайные символы>

    Mit freundlichen Gruessen
    WM
    Free Tickets Organisation (kurz gesch. WMFTO)

  • Sehr geehrte Damen und Herren,

    ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie gekauft, aber wie es sich rausstellte koennen wir wegen politischen Hintergrunden nicht an WM teilnehmen. Deswegen bekommen sie es jetzt. Brauchen sie jetzt nicht zu danken, denn wenn sie jetzt diesen Brief lesen, sind wir schon in einem anderen Land.

    Die Tickets koennen Sie an der Siemens Rezeption abholen, hierzu benoetigte Adresse Habichstra?e 356, Koeln. Wir wuenschen ihnen von der ganzen Familie gutes Spiel.

    In dem Anhang haben sie ein Foto von den Tickets, Password fuer den Archiv lautet <случайные символы>

    Mit freundlichen Gruessen
    Salim Heraldulkalam

  • Sehr geehrte Damen und Herren,

    danke das Sie bei unserer Lotterie mitgemacht haben, und wir wollen sie damit benachrichtigen, dass Sie GEWONNEN HABT!

    Alles was jetzt noch zu machen ist, schnell die Tickets ausfuellen und zu WM gehen!

    Dateianhangspassword: <случайные символы>

    Mit freundlichen Gruessen

    Lotterie-NOD GmbH

Сгенерированный текст червь помещает в GIF-файл, который вставляет в тело письма.

Имя файла-вложения:

Выбирается из списка:

  • Abbild-Der-Rechnung
  • Anhang
  • Anhang-Tickets
  • anklage
  • Anklage-Material
  • anklageschrift
  • Anzeige
  • archiv
  • Auszahlungen
  • bank-kontoauszuge
  • bescheinigung
  • beweise
  • bild01
  • Desktop
  • fick_mich
  • fickmich
  • fotze
  • free_pics
  • free_videos
  • geil
  • ich_lauf_aus
  • ichbingeil
  • ihre_akte
  • IhrEnde
  • Kontoauszug
  • Kopien
  • meinbild
  • meine_moese
  • mypics
  • Neuer Ordner
  • New Folder
  • Postbank
  • Postbank-Ueberweisungen
  • Rechnung
  • Rechnung-Anhang
  • reklament
  • sexy
  • Tickets
  • Ueberweisung
  • vorladung
  • Weltmeisterschaft
  • WM
  • WM-Anhang
  • WM-Tickets

Червь ищет на зараженном компьютере следующие программы-архиваторы:

7-Zip
WinAce
WinRAR

И использует их для сжатия с паролем, указанным в письме, своей копии, которую помещает в виде вложения в зараженное письмо.

Вложения могут иметь одно из расширений:

  • rar
  • zip

Внутри архива содержится файл с копией червя с двойным расширением: «.gif <много пробелов> .exe». Например:

Tickets.gif <много пробелов> .exe

Удаленное администрирование

Червь открывает на зараженной машине случайный TCP-порт для приема удаленных команд. Это позволяет злоумышленнику иметь полный доступ к системе, получать информацию с зараженного компьютера, загружать любые файлы, запускать их и удалять.

Для приема команд и отсылки собранной информации червь соединяется со следующими серверами:

5dime.net
7stick.biz
7stick.info
brancholania.biz
brancholania.net
frachetto.com
frachetto.info
monti2.com
olania.com
olania.net

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь