W32/Banwar-A

Please follow the instructions for removing worms.

W32/Banwar-A is a mass mailing worm and backdoor Trojan for the Windows platform.

W32/Banwar-A is capable of spreading through email. Email sent by W32/Banwar-A has the following properties:

Subject line chosen from:

'ch zeige dich an!'
'Holen sie sich WM Tickets fuer das Finalle JETZT!'
'Holen sie jetzt ihre WM Tickets ab!'
'Hoer auf damit!'
'Guten Tag! Hier sind ihre WM Tickets!'
'Gewonnen? GeWONNEN!'
'BundesKriminalAmt'
'Es ist AUS!'
'Ermittlungsverfahren wurde eingeleitet'
'Anzeige ist erstatet'
'Ihre Akte!'
'JehhuuuU! WWWMMMM!!'
'Komme mit!'
'Sie besitzen Raubkopien'
'Sie betrueger!'
'Sie haben WM Tickets gewonnen!'
'Warum machst du das?'
'Weltmeisterschaft!'

Message text is typically displayed as a GIF file with the words chosen from:

'Sehr geerhrte Damen und Herren,

ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken.
Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden geme alles zurueck zahlen.
Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer laute is3a8
Mit frendlichen Gruessen

Anna Flachman'

'Sehr geehrte Frau Tisha
das Zuspammen von meiner Email mir ihren nackfotos bleibt nicht unbemerkt.

Heute Morgen erstattete ich eine Anzeige bei der BKA Wiesbaden!
Meinen Anwahlt wurde die sache uebergeben!
Ich moechte mit ihnen nicht zu tunn haben und ihre Nackfotos
schick ich ihnen mit der Anglageschrift zurueck!
Die fotos und das schreiben hab ich der Email beigefuegt,

dass password lautet: r77e
Bitte keine Fotos und Emails mehr

mfg
Kresen'

'Die nacktofotos die ich von ihnen bekamm leitete ich an das Kriminal Amt weiter!
Das ist Sexuelle belgastigung!
Sie bekommen eine Anzeige und eine geldschtraffe
melden sie sich in den naexten tagen bei der Polzei!
Die vorladung und die Fotos als beweis hab ich der Email beigefuegt
das password ist: r77e

Emilion Volks'

'Tina es ist schluss!

Unterlasse es mir die fotos zu schicken
wir sind nicht mehr zusammen und ich will dich
nicht mehr nackt sehen!
Ich habe dich Angezeigt weil das einfach zu weit gen tut mir leid!
Deine Fotos und die Kopie der Anzeige hab ich in der Email beigefuegt!
damit deine Intimen fotos keiner sieht hab ich einen password rauf gemacht
das password ist dein Name: r77e

schreib nicht zurueck

Alexei'

The attached file consists of any of the following base names followed by the extension ZIP:

'Anklage-Material'
'WM-Tickets'

The worm may optionally create double extensions where the first extension is GIF and the final extension is EXE. The zipfile contains a copy of W32/Banwar-A. W32/Banwar-A is a mass mailing worm and backdoor Trojan for the Windows platform.

W32/Banwar-A runs continuously in the background, providing a backdoor server which allows a remote intruder to gain access and control over the computer.

When W32/Banwar-A is installed it creates the file <System>\mszsrn32.dll. This file is also detected as W32/Banwar-A.

W32/Banwar-A creates numerous registry entries under the following entry to run the DLL component on startup:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\mszsrn32

W32/Banwar-A is capable of spreading through email. Email sent by W32/Banwar-A has the following properties:

Subject line chosen from:

'ch zeige dich an!'
'Holen sie sich WM Tickets fuer das Finalle JETZT!'
'Holen sie jetzt ihre WM Tickets ab!'
'Hoer auf damit!'
'Guten Tag! Hier sind ihre WM Tickets!'
'Gewonnen? GeWONNEN!'
'BundesKriminalAmt'
'Es ist AUS!'
'Ermittlungsverfahren wurde eingeleitet'
'Anzeige ist erstatet'
'Ihre Akte!'
'JehhuuuU! WWWMMMM!!'
'Komme mit!'
'Sie besitzen Raubkopien'
'Sie betrueger!'
'Sie haben WM Tickets gewonnen!'
'Warum machst du das?'
'Weltmeisterschaft!'

Message text is typically displayed as a GIF file with the words chosen from:

'Sehr geerhrte Damen und Herren,

ich will Sie darauf aufmerksam machen, das Sie ununterbrochen Geld an uns abschicken.
Es ist wirklich erfreulich, aber das Geld gehoert uns nicht und wir wuerden geme alles zurueck zahlen.
Ein Kopie von der Ueberweisung liegt in dem Anhang, das Kennwort dafuer laute is3a8
Mit frendlichen Gruessen

Anna Flachman'

'Sehr geehrte Frau Tisha
das Zuspammen von meiner Email mir ihren nackfotos bleibt nicht unbemerkt.

Heute Morgen erstattete ich eine Anzeige bei der BKA Wiesbaden!
Meinen Anwahlt wurde die sache uebergeben!
Ich moechte mit ihnen nicht zu tunn haben und ihre Nackfotos
schick ich ihnen mit der Anglageschrift zurueck!
Die fotos und das schreiben hab ich der Email beigefuegt,

dass password lautet: r77e
Bitte keine Fotos und Emails mehr

mfg
Kresen'

'Die nacktofotos die ich von ihnen bekamm leitete ich an das Kriminal Amt weiter!
Das ist Sexuelle belgastigung!
Sie bekommen eine Anzeige und eine geldschtraffe
melden sie sich in den naexten tagen bei der Polzei!
Die vorladung und die Fotos als beweis hab ich der Email beigefuegt
das password ist: r77e

Emilion Volks'

'Tina es ist schluss!

Unterlasse es mir die fotos zu schicken
wir sind nicht mehr zusammen und ich will dich
nicht mehr nackt sehen!
Ich habe dich Angezeigt weil das einfach zu weit gen tut mir leid!
Deine Fotos und die Kopie der Anzeige hab ich in der Email beigefuegt!
damit deine Intimen fotos keiner sieht hab ich einen password rauf gemacht
das password ist dein Name: r77e

schreib nicht zurueck

Alexei'

The attached file consists of any of the following base names followed by the extension ZIP:

'Anklage-Material'
'WM-Tickets'

The worm may optionally create double extensions where the first extension is GIF and the final extension is EXE. The zipfile contains a copy of W32/Banwar-A.

W32/Banwar-A harvests email addresses from files on the infected computer and from the Windows address book.