W32/Banwarum Worm

 Information about the W32/Banwarum Worm:

W32/Banwarum is a mass mailing worm. The worm will infect Windows systems. The worm spreads through email and network.

The infected email carries a spoofed 'From' address picked up randomly from the infected system.

The subject of the infected mail will be any one of the following;

Missueberweisungen
Sie betrueger!
WM Tickets!
Sie besitzen Raubkopien
Weltmeisterschaft!
Warum schicken sie mir Geld?
Umsonst mein Arschficken ab 18 Jahren!
Ihre Auszahlungen an mich
Uberweisungen
Warum machst du das?
Treibs mit einer schlampe!
Sie kommen ins Knast!
1000 Euro von der Postbank
Sie haben WM Tickets gewonnen!
Postbank Ueberweisungen
Ueberweisung an einen falschen Adressanten
Postbank
Nimm mich durch mein Schadz!
Lass dich Umsonst Wixen! Nur ab 18 Jahren!
Komme mit!
JehhuuuU! WWWMMMM!!
Ihre IP wurde geloggt!
Ihre Akte!
Ihr Geld
Ich liebe dich!
Betrueg bitte deine Frau mit mir!
Ich lauf aus bitte leck mich!
Ich habe Geld von ihren Postbank Konto bekommen
Ich hab die neuen Fotos Fertig!
Ich bin dauergeill warum?
Holen sie sich WM Tickets fuer das Finalle JETZT!
Ich hab ihr Geld.
Holen sie jetzt ihre WM Tickets ab!
Hoer auf damit!
Geld von Postbank
Hallo!
Guten Tag! Hier sind ihre WM Tickets!
Gewonnen? GeWONNEN!
Fasches Bankkonto
Geldueberweisungen
Geld
Ficke meine Brust!
Es leuft mir schon das bein Runter Honey!
Ich zeige dich an!
Fick mein Po!
Falschueberweisung
Du machst mich so Geil!
Es ist ein Missverstaendnis geschehen
Falscher Adressant
Es ist AUS!
Ermittlungsverfahren wurde eingeleitet
Du Sexgott!
Das Geld das nicht mir gehoert
BundesKriminalAmt
Anzeige ist erstatet
Bums mein Arsch!
Du bist mein Sexgott!
Bums eine Schwarze und gewinne WM-Karten!
Ich Zeige sie an!
Bitte stoppen Sie es

The body of the infected mail will be any one of the following;

Ja ich bin deine HERRIN
aber du darfst trozdem mein Hintern ficken
ich weiss nicht warum aber das fuelt sich ueber geil an
mach das baby oder hast du keine lust?
Guck dir meine fotos an du wirst schon lust bekommen
das password fuer die pics ist: [PASSWORD]
cya dein bussi

Warum drohen sie mir hab ich ihnen was getann?
Ich wusste schon lange das Schwarze nicht erweunscht [REMOVED] drinne ist eine Kopie
der Anzeige
das password fuer die Anzeige lautet: [PASSWORD]
mfg
Ublaskar

Tina es ist schluss!
Unterlasse es mir die fotos zu schicken
wir sind nicht mehr zusammen und ich [REMOVED] h einen password rauf gemacht
das password ist dein Name: [PASSWORD]
schreib nicht zurueck
Alexei

Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal [REMOVED] rat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0

Guten Tag sehr geehrte Damen und Herren!
Meine Web-Site zeichnete Angriffe von ihrer IP Auf
Ich ha [REMOVED] hab ich der Email beigefuegt.
Password fuer die Anklageschrift lautet: [PASSWORD]
mfg
Karl Stein

Sehr geehrte Frau Tisha
das Zuspammen von meiner Email mir ihren nacktfotos
bleibt nicht unbemerkt [REMOVED] Email beigefuegt,
dass password lautet: [PASSWORD]
Bitte keine Fotos und Emails mehr
mfg
Kresen

Wir werden sehen ich sperre mich ein!
Sie drohen mir das sie mich aufschlitzen wollen?
Ich habe sie gestern Angeziegt und stehe unter Polizei schutz!
Hier die letzte mahnung hab ich der Email beigefuegt!
das Password lautet: [PASSWORD]
Werner Blass

Hi Schadz ich schreib aus den Inet cafe in Muenchen
meine neuen Fotos sind fertig und ich vermisse [REMOVED] et hab ich ein password
drauf gemacht das password ist mein name also: [PASSWORD]
Mit liebe Monica

Hi sexgott ich bin so geil das ich nicht mehr kann
hier ein paar fotos wie ich grade abgehe!
das password fuer die fotos ist: [PASSWORD]
Gruesse Monica

Warum bin ich so dauergeil immer muss ich mir was in die MuMu reinschieben
ist das vieleicht ungesund wenn ich dir banane rein tue sie fuelt sich so gut an
was meinst du?
Guck dir meine Fotos an und sag bescheid!
das Password fuer die fotos ist: [PASSWORD]
geilen gruss
Tina

Oh BABY!!!
Ich bin so geil bitte fick mich
meine muschi leuft aus ich will dich o bitte bitttte.........
hofffendlich bist du auch Geil wenn du meine Pics siehst :P
habe dir paar neue mitgeschickt
das password ist: [PASSWORD]
bye bye

Die nacktfotos die ich von ihnen bekamm leitete ich an das Kriminal Amt weiter!
Das ist Sexuelle be [REMOVED] und die Fotos als beweis hab ich der Email beigefuegt
das password ist : [PASSWORD]
Emilion Volks

Hallo Albert
Ich habe ein paar fotos fuer dich gemacht und wollte sie dir schicken damit du
mich nicht so vermisst ich bin in 2 wochen wieder da dann werde ich alle deine wuensche erfuellen versprochen!
Die fotos sind mit der emial
das password hab ich raufgemacht es lautet: [PASSWORD]

Sehr geehrte Damen und Herren,
wir laden Sie rechtherzlich zu unseren
Gewinne WM Tickets
Aktion. Alles was dafuer zu machen brauchen ist dieses Formular auszufuellen.
Das eine Euro das Sie uns schicken wird viele Kinder der dritten Welt erfreuen.
Das Kennwort fuer den Formular lautet [PASSWORD]
Herzlichen Dank
Bathe Maune

Willst du WM tickets gewinnen?
Dann sende uns eine ausgefueltte kopie des Geweinnzettel und wir schicken dir
2 Tickets fuer das Finalle!
Der geweinnzettel ist beigefuegt!
Ihr persoenliches password lautet: [PASSWORD]
Ihr WM Team

Sehr geehrte Damen und Herren,
vor kurzem habe ich eine Ueberweisung von ihrem Bank Konto bekommen [REMOVED] uenden ein Password darauf gelegt, er lautet [PASSWORD]
Mit Freundlichen Gruessen
Manfred Schmidt

Hallo,
sie schicken viel Geld an mir, das mir, nicht mein ist. Ich haben eine Posdbank Account.
Ich schicken alles an du zurueck, wenn du damit aufhoeren Geld zu schicken. Danke.
Hier eine Anhang mit der Ueberweisung. Password dafuer lautete [PASSWORD]
Have a nice day
John Walthers

Sehr geehrte Damen und Herren,
seit Gestern bekomme ich andauernt Geld von Ihnen, ich danke sehr, a [REMOVED] sung gemacht, Kennwort fuer das Archiv lautet [PASSWORD]
Mit freundlichen Gruessen
Mattias Botcher

Sehr geehrte Damen und Herren,
warum schicken Sie mir ihr Geld? Ich bedanke mich bei ihnen, aber es [REMOVED] die sie gemacht haben.
Password dafuer lautet [PASSWORD]
Mit freundlichen Gruessen
Gerhard Meyer

Hi honey
wie findest du eigendlich das das deine Schwester so Rumhurt?
ich mag sie voll gerne aber [REMOVED] einen Eltern zeigst aber das video schick ich dir
das password dafuer ist : [PASSWORD]
Alles liebe

Sehr geehrte Damen und Herren,
ich bevorzuge ihre friedliche Ansichten, aber wir sind keine Wohltaetigkeitsorganisation, deswegen bitte wir Sie die Geldueberweisungen zu beenden.
Wir wuerden gerne alles zurueck zahlen was sie an uns bereits abschickten.
In dem Dateianhang lieg der Log von der Postbank, das Kennwort fur den Archiv lautet [PASSWORD]
Mit freundlichen Gruessen
Ingrid Behnke

Sehr geehrte Damen und Herren,
ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken.
Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden gerne alles zurueck zahlen.
Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer lautet [PASSWORD]
Mit freundlichen Gruessen
Anne Flachman

Hi,
thx das du Geld an mich schicks, aber kannste damit auf hoeren?
Hier eine Kopie des Kontoauszugs von der Postbank in dem Anhang. Password: [PASSWORD]
mfg Henry

Sehr geehrte Damen und Herren,
Sie haben so eben Weltmeisterschaft Tickes gewonnen! Alles was jetzt noch zu machen ist, das Formular in dem Anhang auszufuellen und Sie sind dabei!
Verpassen Sie ihre einmalige Chance nicht!
Anhangspassword: [PASSWORD]
Mit freundlichen Gruessen
Lotto-GDI GmbH

Hi man,
ich hab gesehen, das du zu WM wolltest, frag nicht wer ich bin und warum ich es mache.
Hier hast du 5 Stueck, das ist eine spezielle Online Version, drueck es aus und unterschreib.
Password zu dem Archiv lautet [PASSWORD]
Mfg Niemand ;)

Sehr geehrte Damen und Herren,
danke das Sie bei unserer Lotterie mitgemacht haben, und wir wollen sie damit benachrichtigen, dass Sie GEWONNEN HABT!
Alles was jetzt noch zu machen ist, schnell die Tickets ausfuellen und zu WM gehen!
Dateianhangspassword: [PASSWORD]
Mit freundlichen Gruessen
Lotterie-NOD GmbH

Hi, du hast mich mal bei irgendeinem Online-Dating, ich hab gesagt du bist haesslich und geblockt, Sorry,..
Du bist nicht haesslich, ich war einfach mies drauf. Ich will es wiedergut machen, lade dich damit zu WM, Tickets habe ich ins Attach gelegt,
entpacke es und druecks aus. Password fuer den Archiv lautet [PASSWORD]
mfg Nadine

Sehr geehrte Damen und Herren,
Sie haben ein Multi-WM-Ticket gewonnen! Mit diesem Ultimativen Ticke [REMOVED] ang lautet [PASSWORD]
Mit freundlichen Gruessen
WM
Free Tickets Organisation (kurz gesch. WMFTO)

Sehr geehrte Damen und Herren,
ich habe vor kurzem 7 WM Tickets fuer meine ganze Familie gekauft, a [REMOVED] Tickets, Password fuer den Archiv lautet [PASSWORD]
Mit freundlichen Gruessen
Salim Heraldulkalam

Warum betruegst du Albert?
Ich hab mir dir geschlafen und habe alles getann was du wolltest und du
[REMOVED] chick ich mit der Email
das password was ich darauf gemacht habe ist: [PASSWORD]
Fick dich
Helena

The infected attachment will be any one of the following;

Postbank-Ueberweisungen
Anhang
WM-Anhang
Anhang-Tickets
Kontoauszug
Weltmeisterschaft
archiv
Auszahlungen
bank-kontoauszuge
Desktop
Neuer Ordner
Rechnung
New Folder
Postbank
Rechnung-Anhang
Tickets
Ueberweisung
WM-Tickets
Abbild-Der-Rechnung

The extension of the infected attachment will be double. The first extension will be exe and second extension will be zip. It also comes with gif image that contains password to extract zip file.

Upon execution of the infected attachment, the worm copies itself as mszsrn32.dll in Windows System folder. It will injects dll code to winlogon.exe process to load itself during system restarted.

The worm modifies registry at the following locations to load itself during each startup.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

To propagate itself, the worm scans the files having the following extensions and collects all the available email addresses from the infected system.

adb, asp, dbx, htm, php, wml, sht, tbb, txt and wab.

The worm mails itself to these addresses using its own SMTP engine.

This worm first appeared on May 25, 2006.

 Other names of W32/Banwarum Worm:

This Worm is also known as W32.Banwarum@mm, W32/Banwarum@MM, W32/Zasran-C, Email-Worm.Win32.Banwarum.