製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:B
ウイルス情報
ウイルス名危険度
W32/Banwarum.dll
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4770
対応定義ファイル
(現在必要とされるバージョン)
4770 (現在7495)
対応エンジン (現在5600) 
エンジンバージョンの見分け方
別名Worm.Win32.Banwarum (Kaspersky) W32.Banwarum@MM (Symantec) W32/Zasran (Sophos)
情報掲載日2006/05/26
発見日(米国日付)2006/05/24
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/09Downloader.g...
07/09RDN/Download...
07/09RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7495
 エンジン:5600
 
ウイルス検索
 


概要TOPに戻る

・W32/Banwarum.dllは大量メール送信型ウイルスです。特徴は以下のとおりです。

  • winlogon.exeプロセス内で動作して自身の存在を隠し、システムの稼働中ずっと活動し続けます。
  • パスワード保護された.ZIP圧縮ファイルに格納されたW32/Banwarum@MMウイルスのコピーを電子メールで送信して拡散します。(パスワードは電子メールの本文に記載されています。)
  • HTTPプロトコルを使用してさまざまなWebサイトにアクセスします(TCPポート80)。
  • 既知の脆弱性を拡散方法として利用します。
  • ファイルシステムから電子メールアドレスを収集します。
  • バックドアコンポーネントが組み込まれています。
  • インストールした圧縮アプリケーションを使用して、自身を圧縮し、電子メールを送信します。

・.EXEコンポーネントの詳細はW32/Banwarum@MMのウイルス情報を参照してください。

ウイルスの特徴TOPに戻る

大量メール送信

・W32/Banwarum.dllは自身に組み込まれているSMTPエンジンを使用して、電子メールを送信し、感染システムのハードドライブをトラバースして、以下のファイル拡張子を確認し、W32/Banwarum@MMのコピーを送信する電子メールアドレスを探します。

  • .adb
  • .asa
  • .asc
  • .asm
  • .asp
  • .cgi
  • .con
  • .csp
  • .csv
  • .dbx
  • .dlt
  • .doc
  • .dwt
  • .edm
  • .hta
  • .htc
  • .htm
  • .html
  • .inc
  • .jsp
  • .jst
  • .lbi
  • .php
  • .rdf
  • .rss
  • .sht
  • .ssi
  • .stm
  • .tbb
  • .tbi
  • .txt
  • .vbp
  • .vbs
  • .wml
  • .xht
  • .xls
  • .xml
  • .xsd

・電子メールの宛先差出人のアドレスは、W32/Banwarum.dllがファイルを検索して見つけ出したデータから作成されるため、ある程度ランダムになります。

・電子メールの件名は以下のとおりです。

  • Ficke meine Brust!
  • Geld
  • Geld von Postbank
  • Geldueberweisungen
  • Gewonnen? GeWONNEN!
  • Guten Tag
  • Hallo!
  • Hier sind ihre WM Tickets!
  • Holen sie jetzt ihre WM Tickets ab!
  • Holen sie sich WM Tickets fuer das Finalle JETZT!
  • Ich bin dauergeill warum?
  • Ich hab die neuen Fotos Fertig!
  • Ich hab ihr Geld.
  • Ich habe Geld von ihren Postbank Konto bekommen Ich lauf aus bitte leck mich!
  • Ich liebe dich!
  • Ihr Geld, Postbank
  • Ihre Auszahlungen an mich
  • JehhuuuU! WWWMMMM!!
  • Komme mit!
  • Lass dich Umsonst Wixen! Nur ab 18 Jahren!
  • Missueberweisungen
  • Nimm mich durch mein Schadz!
  • Postbank Ueberweisungen
  • Sie haben WM Tickets gewonnen!
  • Treibs mit einer schlampe!
  • Uberweisungen
  • Ueberweisung an einen falschen Adressanten Umsonst mein Arschficken ab 18 Jahren!
  • Warum schicken sie mir Geld?
  • Weltmeisterschaft!
  • WM Tickets!

・電子メールの本文は.GIF画像ファイルになっており、以下の例のとおりです。

・W32/Banwarum.dllは以下の文字列を含むアドレスには電子メールを送信しません。

  • admin
  • info
  • support
  • soft
  • webmaster
  • help
  • web
  • postmaster
  • root
  • bugs
  • rating
  • site
  • contact
  • privacy
  • service
  • abuse
  • register
  • cisco
  • gnu.org
  • bsd.it
  • debian
  • linux
  • berkeley
  • google
  • fido
  • ibm.com
  • microsoft.com
  • php.net
  • .mil
  • .gov
  • borland.com
  • sun.com
  • virus
  • kaspersky
  • sophos
  • ripe.
  • iana.
  • drweb.
  • secure
  • avp.
  • .arpa

・W32/Banwarum.dllは以下の文字列と.ZIPまたは.RAR拡張子を使用して、圧縮ファイルのファイル名を作成し、電子メールに添付します。

  • Abbild-Der-Rechnung
  • Anhang
  • Anhang-Tickets
  • anklage
  • Anklage-Material
  • anklageschrift
  • Anzeige
  • archiv
  • Auszahlungen
  • bank-kontoauszuge
  • bescheinigung
  • beweise
  • bild01
  • Desktop
  • fick_mich
  • fickmich
  • fotze
  • free_pics
  • free_videos
  • geil
  • ich_lauf_aus
  • ichbingeil
  • ihre_akte
  • IhrEnde
  • Kontoauszug
  • Kopien
  • meinbild
  • meine_moese
  • mypics
  • Neuer Ordner
  • New Folder
  • Postbank
  • Postbank-Ueberweisungen
  • Rechnung
  • Rechnung-Anhang
  • reklament
  • sexy
  • Tickets
  • Ueberweisung
  • vorladung
  • Weltmeisterschaft
  • WM-Anhang
  • WM-Tickets
バックドア

・W32/Banwarum.dllはランダムなTCPポート上で受信待機を行います。

・以下のサイトにHTTP接続を行って(安全のため、URLの一部を非表示にしてあります)、以降の動作に関する情報と指示を収集し、システムの仕様、IPアドレスなどの情報をアップロードします。

  • 7s[非表示].biz
  • ol[非表示].net
  • ol[非表示].com
  • 7s[非表示].info
  • branchol[非表示].net
  • branchol[非表示].biz
  • frach[非表示].com
  • frach[非表示].info
  • 5[非表示].net
  • mo[非表示].com
圧縮

・W32/Banwarum.dllは感染システムにインストールされている圧縮アプリケーションを使用して、自身をパスワード保護された.ZIPファイルに圧縮して、電子メールを送信します。

・このとき、以下のレジストリキーのDisplayNameUninstallStringデータの値を確認します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

・以下のアプリケーションを確認します。

  • 7-Zip
  • WinRAR
  • WinAce

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
レジストリ

・以下のレジストリの場所にmszsrn32キーが存在します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

ファイルシステム

%WINDIR%\System32\mszsrn32.dllファイルが存在します。

・W32/Banwarum.dllがハードディスクをトラバースして電子メールアドレスを検索するため、DISK I/Oの読み取り回数が増えます。

ネットワーク

  • 上記のドメイン名へのHTTP(TCPポート80)トラフィックが発生します。
  • 上記の添付ファイル名、件名を含むSMTP(TCPポート25)トラフィックが発生します。

感染方法TOPへ戻る

・感染した電子メール添付ファイルを手動で実行すると、ローカルシステムに感染し、さらに他のシステムにW32/Banwarum.dllを電子メールで送信します。

駆除方法TOPへ戻る
■McAfee Labs は、常に最新のウイルス定義ファイルとエンジンの利用を推奨します。このウイルスは、最新のウイルス定義ファイルとエンジンの組み合わせで削除されます。

Windows ME/XPでの駆除についての補足