Win32/Banwarum [Threat Name] go to Threat

Win32/Banwarum.NAB [Threat Variant Name]

Category worm
Size 46626 B
Detection created May 25, 2006
Detection database version 1559
Aliases Email-Worm.Win32.Banwarum.a (Kaspersky)
  W32.Banwarum@mm (Symantec)
  Win32.HLLM.Rancheg (Dr.Web)
Short description

Win32/Banwarum.NAB is a worm that spreads via e-mail.

Installation

When executed the worm drops in folder %system% the following file:

  • mszsrn32.dll (40448 B)

In order to be executed on every system start, the worm sets the following Registry entries:

  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows NT\­CurrentVersion\­Winlogon\­Notify\­mszsrn32]
    • "DllName" = "%system%\­mszsrn32.dll"
    • "Startup" = "Startup"
    • "Asynchronous" = 1
    • "Impersonate" = 0
    • "Type" = 2
    • "SystemId" = %variable1%
    • "ConfSaved" = %variable2%
    • "NoScan" = %variable3%
Spreading via e-mail

Win32/Banwarum.NAB is a worm that spreads via e-mail.


E-mail addresses for further spreading are searched for in local files with the following extension:

  • .adb
  • .asa
  • .asc
  • .asm
  • .asp
  • .cgi
  • .con
  • .csp
  • .csv
  • .dbx
  • .dlt
  • .doc
  • .dwt
  • .edm
  • .hta
  • .htc
  • .htm
  • .html
  • .inc
  • .jsp
  • .jst
  • .lbi
  • .php
  • .rdf
  • .rss
  • .sht
  • .ssi
  • .stm
  • .tbb
  • .tbi
  • .txt
  • .vbp
  • .vbs
  • .wab
  • .wml
  • .xht
  • .xls
  • .xml
  • .xsd
  • .xst

Addresses containing the following strings are avoided:

  • .arpa
  • .gov
  • .mil
  • abuse
  • admin
  • avp.
  • berkeley
  • borland.com
  • bsd.it
  • bugs
  • cisco
  • contact
  • debian
  • drweb.
  • fido
  • gnu.org
  • google
  • help
  • iana.
  • ibm.com
  • info
  • kaspersky
  • linux
  • microsoft.com
  • php.net
  • postmaster
  • privacy
  • rating
  • register
  • ripe.
  • root
  • secure
  • service
  • site
  • soft
  • sophos
  • sun.com
  • support
  • virus
  • web
  • webmaster

The sender's address is spoofed.


Subject of the message is one of the following:

  • 1000 Euro von der Postbank
  • Anzeige ist erstatet
  • Betrueg bitte deine Frau mit mir!
  • Bitte stoppen Sie es
  • Bums eine Schwarze und gewinne WM-Karten!
  • Bums mein Arsch!
  • BundesKriminalAmt
  • Das Geld das nicht mir gehoert
  • Du bist mein Sexgott!
  • Du machst mich so Geil!
  • Du Sexgott!
  • Ermittlungsverfahren wurde eingeleitet
  • Es ist AUS!
  • Es ist ein Missverstaendnis geschehen
  • Es leuft mir schon das bein Runter Honey!
  • Falscher Adressant
  • Falschueberweisung
  • Fasches Bankkonto
  • Fick mein Po!
  • Ficke meine Brust!
  • Geld
  • Geld von Postbank
  • Geldueberweisungen
  • Gewonnen? GeWONNEN!
  • Guten Tag! Hier sind ihre WM Tickets!
  • Hallo!
  • Hoer auf damit!
  • Holen sie jetzt ihre WM Tickets ab!
  • Holen sie sich WM Tickets fuer das Finalle JETZT!
  • Ich bin dauergeill warum?
  • Ich hab die neuen Fotos Fertig!
  • Ich hab ihr Geld.
  • Ich habe Geld von ihren Postbank Konto bekommen
  • Ich lauf aus bitte leck mich!
  • Ich liebe dich!
  • Ich zeige dich an!
  • Ich Zeige sie an!
  • Ihr Geld
  • Ihre Akte!
  • Ihre Auszahlungen an mich
  • Ihre IP wurde geloggt!
  • JehhuuuU! WWWMMMM!!
  • Komme mit!
  • Lass dich Umsonst Wixen! Nur ab 18 Jahren!
  • Missueberweisungen
  • Nimm mich durch mein Schadz!
  • Postbank
  • Postbank Ueberweisungen
  • Sie besitzen Raubkopien
  • Sie betrueger!
  • Sie haben WM Tickets gewonnen!
  • Sie kommen ins Knast!
  • Treibs mit einer schlampe!
  • Uberweisungen
  • Ueberweisung an einen falschen Adressanten
  • Umsonst mein Arschficken ab 18 Jahren!
  • Warum machst du das?
  • Warum schicken sie mir Geld?
  • Weltmeisterschaft!
  • WM Tickets!

Body of the message is one of the following:

  • Sehr geehrte Dame, sehr geehrter Herr,
    • das Herunterladen von Filmen, Software und MP3s ist illegal und
    • somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass
    • Ihr Rechner unter der IP erfasst wurde. Der Inhalt Ihres Rechner
    • wurde als Beweismittel sichergestellt und es wird ein
    • Ermittlungsverfahren gegen Sie eingleitet.
    • Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird
    • Ihnen in den naechsten Tagen schriftlich zugestellt.
    • Aktenzeichen NR.:# (siehe Anhang)
    • ACHTUNG: der Anhang ist Password geschuetzt
    • der Password fuer den Anhang (ihre Akte)
    • lautet: [%password%]
    • bitte vergessen sie ihn nicht
    • Hochachtungsvoll
    • i.A. Juergen Stock
    • --- Bundeskriminalamt BKA
    • --- Referat LS 2
    • --- 65173 Wiesbaden
    • --- Tel.: +49 (0)611 - 55 - 12331 oder
    • --- Tel.: +49 (0)611 - 55 - 0
  • Guten Tag sehr geehrte Damen und Herren!
    • Meine Web-Site zeichnete Angriffe von ihrer IP Auf
    • Ich habe mich bei T-Com beschwert und ihre Email bekommen
    • bitte unterlassen sie alle angriffe auf meine Web-Site
    • die Anzeige ist erstatet! Die anklage schrift hab ich der Email beigefuegt.
    • Password fuer die Anklageschrift lautet: [%password%]
    • mfg
    • Karl Stein
  • Tina es ist schluss!
    • Unterlasse es mir die fotos zu schicken
    • wir sind nicht mehr zusammen und ich will dich
    • nicht mehr nackt sehen!
    • Ich habe dich Angezeigt weil das einfach zu weit geht tut mir leid!
    • Deine Fotos und die Kopie der Anzeige hab ich in der Email beigefuegt!
    • damit deine Intimen fotos keiner sieht hab ich einen password rauf gemacht
    • das password ist dein Name: [%password%]
    • schreib nicht zurueck
    • Alexei
  • Sehr geehrte Frau Tisha
    • das Zuspammen von meiner Email mir ihren nacktfotos
    • bleibt nicht unbemerkt.
    • Heute Morgen erstattete ich eine Anzeige bei der BKA Wiesbaden!
    • Meinen Anwahlt wurde die sache uebergeben!
    • Ich moechte mit ihnen nicht zu tunn haben und ihre Nacktfotos
    • schick ich ihnen mit der Anklageschrift zurueck!
    • Die fotos und das schreiben hab ich der Email beigefuegt,
    • dass password lautet: [%password%]
    • Bitte keine Fotos und Emails mehr
    • mfg
    • Kresen
  • Warum drohen sie mir hab ich ihnen was getann?
    • Ich wusste schon lange das Schwarze nicht erweunscht sind!
    • Ich habe sie bei der Polizei angezeigt sie werden sich um sie kuemern
    • ich habe der email einen Anhang  beigefuergt da drinne ist eine Kopie
    • der Anzeige
    • das password fuer die Anzeige lautet: [%password%]
    • mfg
    • Ublaskar
  • Wir werden sehen ich sperre mich ein!
    • Sie drohen mir das sie mich aufschlitzen wollen?
    • Ich habe sie gestern Angeziegt und stehe unter Polizei schutz!
    • Hier die letzte mahnung hab ich der Email beigefuegt!
    • das Password lautet: [%password%]
    • Werner Blass
  • Die nacktfotos die ich von ihnen bekamm leitete ich an das Kriminal Amt weiter!
    • Das ist Sexuelle belastigung!
    • Sie bekommen eine Anzeige und eine geldschtraffe
    • melden sie sich in den naexten tagen bei der Polzei!
    • Die vorladung und die Fotos als beweis hab ich der Email beigefuegt
    • das password ist : [%password%]
    • Emilion Volks
  • Hi Schadz ich schreib aus den Inet cafe in Muenchen
    • meine neuen Fotos sind fertig und ich vermisse dich!
    • Die fotos sind gut geweorden ich hab das alles nur dier zuliebe getann
    • und das weisst du!
    • Die Fotos hab ich der Email beigefuegt ich hoffe du bist zufrieden
    • ah ja und damit sie keiner ausser die oefnet hab ich ein password
    • drauf gemacht das password ist mein name also: [%password%]
    • Mit liebe Monica
  • Hi sexgott ich bin so geil das ich nicht mehr kann
    • hier ein paar fotos wie ich grade abgehe!
    • das password fuer die fotos ist: [%password%]
    • Gruesse Monica
  • Warum bin ich so dauergeil immer muss ich mir was in die MuMu reinschieben
    • ist das vieleicht ungesund wenn ich dir banane rein tue sie fuelt sich so gut an
    • was meinst du?
    • Guck dir meine Fotos an und sag bescheid!
    • das Password fuer die fotos ist: [%password%]
    • geilen gruss
    • Tina
  • Oh BABY!!!
    • Ich bin so geil bitte fick mich
    • meine muschi leuft aus ich will dich o bitte bitttte.........
    • hofffendlich bist du auch Geil wenn du meine Pics siehst :P
    • habe dir paar neue mitgeschickt
    • das password ist: [%password%]
    • bye bye
  • Ja ich bin deine HERRIN
    • aber du darfst trozdem mein Hintern ficken
    • ich weiss nicht warum aber das fuelt sich ueber geil an
    • mach das baby oder hast du keine lust?
    • Guck dir meine fotos an du wirst schon lust bekommen
    • das password fuer die pics ist: [%password%]
    • cya dein bussi
  • Hi honey
    • wie findest du eigendlich das das deine Schwester so Rumhurt?
    • ich mag sie voll gerne aber sie hat Robert den Afganer auf party ein geblasen
    • und Tina hat das mit der kamera aufgenommen
    • es ist deine sache ob du das deinen Eltern zeigst aber das video schick ich dir
    • das password dafuer ist : [%password%]
    • Alles liebe
  • Warum betruegst du Albert?
    • Ich hab mir dir geschlafen und habe alles getann was du wolltest und du
    • du ficks meine schwester wo ich Zwei tage zu Mama wegfahre?
    • Du bist der groesste Arschloch und es ist vorbei!
    • das video hat mir Tina geschickt wo du mit ihr gepoppt hast und wie ihr das aufgenommen habt
    • das ist das Beweis und du wirst es noch sehen!
    • Das video schick ich mit der Email
    • das password was ich darauf gemacht habe ist: [%password%]
    • Fick dich
    • Helena
  • Hallo Albert
    • Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du
    • mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen!
    • Die fotos sind mit der emial
    • das password hab ich raufgemacht es lautet: [%password%]
  • Willst du WM tickets gewinnen?
    • Dann sende uns eine ausgefueltte kopie des Geweinnzettel und wir schicken dir
    • 2 Tickets fuer das Finalle!
    • Der geweinnzettel ist beigefuegt!
    • Ihr persoenliches password lautet: [%password%]
    • Ihr WM Team
  • Sehr geehrte Damen und Herren,
    • vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen und ich wuerde sie gern Fragen wie es dazu kam.
    • Iich danke Ihnen, aber es musste warscheinlich ein Fehler unterlaufen denn ich kenne Sie nicht und Sie kennen mich nicht.
    • Wie koennen wir diesen Missverstaendnis loesen? Am besten rufen Sie mich bitte an wenn es moeglich ist. Meine Telefonnummer lautet 035/98276590
    • Ich habe ein Abbild von dem Ueberweisungslog gemacht, dabei habe ich aus versehentlichen Gruenden ein Password darauf gelegt, er lautet [%password%]
    • Mit Freundlichen Gruessen
    • Manfred Schmidt
  • Sehr geehrte Damen und Herren,
    • seit Gestern bekomme ich andauernt Geld von Ihnen, ich danke sehr, aber ich glaube es ist ein Fehler unterlaufen.
    • Ich habe ein Konto bei der Postbank und es lautet 48756830000443 Bankleitzahl: 94775775
    • Bitte ueberpruefen Sie ihre Auszahlungen und rufen sie mich unter folgender
    • Nummer an 056/48576887 damit wir besprechen koennen wie ich Ihr Geld zurueckzahlen koennte.
    • In dem Anhang habe ich eine Kopie der Ueberweisung gemacht, Kennwort fuer das Archiv lautet [%password%]
    • Mit freundlichen Gruessen
    • Mattias Botcher
  • Sehr geehrte Damen und Herren,
    • warum schicken Sie mir ihr Geld?  Ich bedanke mich bei ihnen, aber es gehoert nicht mir und ich brauche es auch nicht, also koennen Sie es bitte lassen?
    • Meine Kontonummer bei der Postbank 83475687345 Bankleitzahl: 4655437
    • In dem Attach haben sie ein Log von den Ueberweisungen die sie gemacht haben.
    • Password dafuer lautet [%password%]
    • Mit freundlichen Gruessen
    • Gerhard Meyer
  • Sehr geehrte Damen und Herren,
    • ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden.
    • Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.
    • In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet [%password%]
    • Mit freundlichen Gruessen
    • Ingrid Behnke
  • Sehr geehrte Damen und Herren,
    • ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken.
    • Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.
    • Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet [%password%]
    • Mit freundlichen Gruessen
    • Anne Flachman
  • Hi,
    • thx das du Geld an mich schicks, aber kannste damit auf hoeren?
    • Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: [%password%]
    • mfg Henry
  • Hallo,
    • sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine Posdbank Account.
    • Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
    • Hier eine Anhang mit der Ueberweisung. Password dafuer lautete [%password%]
    • Have a nice day
    • John Walthers
  • Sehr geehrte Damen und Herren,
    • wir laden Sie rechtherzlich zu unseren «Gewinne WM Tickets» Aktion. Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen.
    • Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.
    • Das Kennwort fuer den Formular lautet [%password%]
    • Herzlichen Dank
    • Bathe Maune
  • Sehr geehrte Damen und Herren,
    • Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang  auszufuellen und Sie sind dabei!
    • Verpassen Sie ihre einmalige Chance nicht!
    • Anhangspassword: [%password%]
    • Mit freundlichen Gruessen
    • Lotto-GDI GmbH
  • Hi, du hast mich mal bei irgendeinem Online-Dating, ich hab gesagt du bist haesslich und geblockt, Sorry,..
    • Du bist nicht haesslich, ich war einfach mies drauf. Ich will es wiedergut machen, lade dich damit zu WM, Tickets habe ich ins Attach gelegt,
    • entpacke es und druecks aus. Password fuer den Archiv lautet [%password%]
    • mfg Nadine
  • Hi man,
    • ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache.
    • Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
    • Password zu dem Archiv lautet [%password%]
    • Mfg Niemand ;)
  • Sehr geehrte Damen und Herren,
    • Sie haben ein Multi-WM-Ticket gewonnen!  Mit diesem Ultimativen Ticket koennen sie so viele wie sie wollen zu dem WM Spiel einladen!
    • Alles was sie zu machen brauchen ist diesen einen Anhang entpacken und ihre Unterschriften darauf schreiben. Das Kennwort fuer den Anhang lautet [%password%]
    • Mit freundlichen Gruessen
    • WM – Free Tickets Organisation (kurz gesch. WMFTO)
  • Sehr geehrte Damen und Herren,
    • ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie gekauft, aber wie es sich rausstellte koennen wir wegen politischen
    • Hintergrunden nicht an WM teilnehmen. Deswegen bekommen sie es jetzt. Brauchen sie jetzt nicht zu danken, denn wenn sie jetzt diesen Brief lesen,
    • sind wir schon in einem anderen Land.
    • Die Tickets koennen Sie an der Siemens Rezeption abholen, hierzu benoetigte Adresse Habichstra?e 356, Koeln.
    • Wir wuenschen ihnen von der ganzen Familie gutes Spiel.
    • In dem Anhang haben sie ein Foto von den Tickets, Password fuer den Archiv lautet [%password%]
    • Mit freundlichen Gruessen
    • Salim Heraldulkalam
  • Sehr geehrte Damen und Herren,
    • danke das Sie bei unserer Lotterie mitgemacht haben, und wir wollen sie damit benachrichtigen, dass Sie GEWONNEN HABT!
    • Alles was jetzt noch zu machen ist, schnell die Tickets ausfuellen und zu WM gehen!
    • Dateianhangspassword: [%password%]
    • Mit freundlichen Gruessen
    • Lotterie-NOD GmbH

A string with variable content is used instead of [%password%] .


The attachment is a archive containing the . It is password protected. The password is randomly generated. The password is included in message body.


Its filename is one of the following:

  • Abbild-Der-Rechnung.rar
  • Abbild-Der-Rechnung.zip
  • Anhang.rar
  • Anhang.zip
  • Anhang-Tickets.rar
  • Anhang-Tickets.zip
  • anklage.rar
  • anklage.zip
  • Anklage-Material.rar
  • Anklage-Material.zip
  • anklageschrift.rar
  • anklageschrift.zip
  • Anzeige.rar
  • Anzeige.zip
  • archiv.rar
  • archiv.zip
  • Auszahlungen.rar
  • Auszahlungen.zip
  • bank-kontoauszuge.rar
  • bank-kontoauszuge.zip
  • bescheinigung.rar
  • bescheinigung.zip
  • beweise.rar
  • beweise.zip
  • bild01.rar
  • bild01.zip
  • Desktop.rar
  • Desktop.zip
  • fick_mich.rar
  • fick_mich.zip
  • fickmich.rar
  • fickmich.zip
  • fotze.rar
  • fotze.zip
  • free_pics.rar
  • free_pics.zip
  • free_videos.rar
  • free_videos.zip
  • geil.rar
  • geil.zip
  • ich_lauf_aus.rar
  • ich_lauf_aus.zip
  • ichbingeil.rar
  • ichbingeil.zip
  • ihre_akte.rar
  • ihre_akte.zip
  • IhrEnde.rar
  • IhrEnde.zip
  • Kontoauszug.rar
  • Kontoauszug.zip
  • Kopien.rar
  • Kopien.zip
  • meinbild.rar
  • meinbild.zip
  • meine_moese.rar
  • meine_moese.zip
  • mypics.rar
  • mypics.zip
  • Neuer Ordner.rar
  • Neuer Ordner.zip
  • New Folder.rar
  • New Folder.zip
  • Postbank.rar
  • Postbank.zip
  • Postbank-Ueberweisungen.rar
  • Postbank-Ueberweisungen.zip
  • Rechnung.rar
  • Rechnung.zip
  • Rechnung-Anhang.rar
  • Rechnung-Anhang.zip
  • reklament.rar
  • reklament.zip
  • sexy.rar
  • sexy.zip
  • Tickets.rar
  • Tickets.zip
  • Ueberweisung.rar
  • Ueberweisung.zip
  • vorladung.rar
  • vorladung.zip
  • Weltmeisterschaft.rar
  • Weltmeisterschaft.zip
  • WM-Anhang.rar
  • WM-Anhang.zip
  • WM-Tickets.rar
  • WM-Tickets.zip
Other information

The worm acquires data and commands from a remote computer or the Internet.


The worm connects to the following addresses:

  • 5dime.net
  • 7stick.biz
  • 7stick.info
  • brancholania.biz
  • brancholania.net
  • frachetto.com
  • frachetto.info
  • monti2.com
  • olania.com
  • olania.net

It can execute the following operations:

  • download files from a remote computer and/or the Internet
  • run executable files
  • perform DoS/DDoS attacks
  • update itself to a newer version
  • perform port scanning

Please enable Javascript to ensure correct displaying of this content and refresh this page.