Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Mabezat
Entdeckt am:29/01/2008
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Hoch
Statische Datei:Nein
Engine Version:7.06.00.59

 General Verbreitungsmethoden:
   • Autorun Dateien
   • Email
   • Infiziert Dateien
   • Lokales Netzwerk
   •  Symantec: W32.Mabezat.B!inf
   •  Mcafee: W32/Mabezat.a
   •  Kaspersky: Worm.Win32.Mabezat.b
   •  Sophos: W32/Mabezat-B
   •  VirusBuster: Worm.Mabezat.C
   •  Eset: Win32/Mabezat.A
   •  Bitdefender: Win32.Worm.Mabezat.Gen

File works interdependently with these components: (de)
   •  WORM/Mabezat.b


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Erstellt schädliche Dateien
   • Infiziert Dateien
   • Änderung an der Registry

 Spezialerkennung  W32/Mabezat

Beschreibung:
Eine generische Erkennungsroutine um gemeinsame Familienmerkmale der verschiedenen Varianten zu erkennen.

Diese generische Erkennungsroutine wurde entwickelt um unbekannte Varianten zu erkennen. Sie wird kontinuierlich weiterentwickelt.


Versionsliste:
Um die Erkennung zu verbessern wurde die Engine mit folgenden Versionen aktualisiert:

   •  7.06.00.59   ( 30/01/2008 )
   •  7.09.00.129   ( 26/03/2009 )
   •  7.09.01.00   ( 11/08/2009 )

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %Laufwerk%\zPharaoh.exe


Verschlüsselung:
Es werden neue Dateien erstellt welche verschlüsselte Versionen der gefundenen Dateien sind.

Folgende Dateitypen werden in betracht gezogen:
   • .hlp; .pdf; .html; .txt; .aspx.cs; .aspx; .psd; .mdf; .rtf; .htm;
      .ppt; .php; .asp; .pas; .h; .cpp; .xls; .doc; .rar; .zip; .mdb

Die Originaldatei wird anschließend gelöscht.



Folgende Datei wird gelöscht:
   • %home%\Local Settings\Application Data\Microsoft\CD Burning\*.*



Es werden folgende Dateien erstellt:

%Laufwerk%\autorun.inf Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • [AutoRun]
     ShellExecute=zPharaoh.exe
     shell\open\command=zPharaoh.exe
     shell\explore\command=zPharaoh.exe
     open=zPharaoh.exe
     

%home%\Application Data\tazebama\zPharaoh.dat Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • tazebama trojan log file

– %SystemDrive%\Documents and Settings\tazebama.dl_ Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Mabezat.b

– %SystemDrive%\Documents and Settings\hook.dl_ Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Mabezat.b

– %SystemDrive%\Start Menu\Programs\Startup\zPharoh.exe Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: WORM/Mabezat.b

– %SystemDrive%\Documents and Settings\tazebama.dll Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist. Erkannt als: TR/Spy.Agent.alv

 Registry  Alle Werte des folgenden Registryschlüssel und alle Subkeys werden gelöscht:
   • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun



Folgender Registryschlüssel wird geändert:

Verschiedenste Einstellungen des Explorers:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Neuer Wert:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

 Dateiinfektion Art des Infektors:

Eingebettet - Der Virus fügt seinen Code verteilt in die ganze Datei ein. (An einer oder mehreren Stellen)


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • *.exe

Dateien in folgenden Verzeichnissen:
   • %PROGRAM FILES%\
   • %WINDIR%\

 Email Die Malware nutzt Microsoft Oulook um Emails zu verschicken. Die Einzelheiten sind im folgenden aufgeführt:


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.


Design der Emails:
 


Betreff: ABOUT PEOPLE WITH WHOM MATRIMONY IS PROHIBITED
Body:
   • 1 : If a man commits adultery with a woman, then it is not permissible for him to marry her mother or her daughters.
     
     2 : If a woman out of sexual passion and with evil intent commits sexual intercourse with a man, then it is not permissible for the mother or daughters of that woman to merry that man. In the same way, the man who committed sexual intercourse with a woman, because prohibited for her mother and daughters.
     
     Download the attached article to read.
Dateianhang:
   • PROHIBITED_MATRIMONY.rar
 


Betreff: Windows secrets
Body:
   • The attached article is on "how to make a folder password". If your are interested in this article download it, if you are not delete it.
Dateianhang:
   • FolderPW_CH(1).rar
 


Betreff: Canada immigration
Body:
   • The debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventually lead to a shrinking populace. Baby bonuses and other such incentives couldn't convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050.
     Download the attached file to know about the required forms.
     The sender of this email got this article from our side and forwarded it to you.
Dateianhang:
   • IMM_Forms_E01.rar
 


Betreff: Viruses history
Body:
   • Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There are a lot of kinds of viruses. The common and popular kind is called "Trojan.Backdoor" which runs as a backdoor of the victim machine. This enables the virus to have a full remote administration of the victim machine. To read the full story about the viruses history since 1970 download the attached and decompress It by WinRAR.
     
     The sender has red the story and forwarded it to you.
Dateianhang:
   • virushistory.rar
 


Betreff: Web designer vacancy
Body:
   • Fortunately, we have recently received your CV/Resume from moister web site
     and we found it matching the job requirements we offer.
     If your are interested in this job Please send us an updated CV showing the required items with the attached file that we sent.
     
     Thanks & Regards,
     Ajy Bokra
     Computer department.
     AjyBokra@webconsulting.com
Dateianhang:
   • JobDetails.rar
 


Betreff: MBA new vision
Body:
   • MBA (Master of business administration ) one of the most required degree around the world. We offer a lot of books helping you to gain this degree. We attached one of our .doc word formatted books on "Marketing basics" to download.
     
     
     Our web site http://www.tazeunv.edu.cr/mba/info.htm
     
     Contacts:
     Human resource
     Ajy klaf
     AjyKolav@tazeunv.com
     
     The sender has added your name to be informed with our services.
Dateianhang:
   • Marketing.rar
 


Betreff: problem
Body:
   • When I had opened your last email I received some errors have been saved in the attached file.
      Please inform me with those errors as soon as possible.
Dateianhang:
   • outlooklog.rar
 


Betreff: I forwarded the attached file again to evaluate your self.
Body:
   • Unfortunately, I received unformatted email with an attached file from you. I couldn't understand what is behind the words.
     I wish you next time send me a readable file!.
Dateianhang:
   • notes.rar


Dateianhang:

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthält.

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:  


Es wird nach folgendem Verzeichnis gesucht:
   • %alle Verzeichnisse%

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • Adjust Time.exe; AmericanOnLine.exe; Antenna2Net.exe;
      BrowseAllUsers.exe; CD Burner.exe; Crack_GoogleEarthPro.exe; Disk
      Defragmenter.exe; FaxSend.exe; FloppyDiskPartion.exe;
      GoogleToolbarNotifier.exe; HP_LaserJetAllInOneConfig.exe; IDE Conector
      P2P.exe; InstallMSN11Ar.exe; InstallMSN11En.exe; JetAudio dump.exe;
      KasperSky6.0 Key.doc.exe; Lock Folder.exe; LockWindowsPartition.exe;
      Make Windows Original.exe; MakeUrOwnFamilyTree.exe; Microsoft MSN.exe;
      Microsoft Windows Network.exe; msjavx86.exe; My documents .exe;
      NokiaN73Tools.exe; Office2003 CD-Key.doc.exe; Office2007
      Serial.txt.exe; PanasonicDVD_DigitalCam.exe; RadioTV.exe; Readme.doc
      .exe; readthis.doc.exe; Recycle Bin.exe; RecycleBinProtect.exe;
      ShowDesktop.exe; Sony Erikson DigitalCam.exe; Win98compatibleXP.exe;
      Windows Keys Secrets.exe; WindowsXp StartMenu Settings.exe;
      WinrRarSerialInstall.exe; %aktueller Verzeichnisname% .exe

   Diese Dateien sind Kopien der eigenen Malware Datei  


Es wird nach folgendem Verzeichnis gesucht:
   • %alle Verzeichnisse%

   War die Suche erfolgreich so werden folgende Dateien erstellt:
   • windows.rar
   • office_crack.rar
   • serials.rar
   • passwords.rar
   • windows_secrets.rar
   • source.rar
   • imp_data.rar
   • documents_backup.rar
   • backup.rar
   • MyDocuments.rar

   Dieses Archiv enthält eine Kopie der Malware selbst

 Infektion über das Netzwerk Um die weitere Verbreitung sicherzustellen versucht sich die Malware mit anderen Computern zu verbinden. Die Einzelheiten hierzu sind im Folgenden beschrieben.


Um sich Zugriff auf entfernte Computer zu verschaffen werden folgende Anmeldeinformationen genutzt:

– Folgender Benutzernamen:
   • Administrator

– Folgende Liste von Passwörtern:
   • 123
   • abc


 Diverses  Kontaktiert folgende Webseiten um auf eine vorhandene Internetverbindung zu Überprüfen:
   • http://www.microsoft.com
   • http://www.hotmail.com
   • http://www.yahoo.com
   • http://www.britishcouncil.com

Die Beschreibung wurde erstellt von Razvan Olteanu am Dienstag, 16. Februar 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Mittwoch, 17. Februar 2010

zurück . . . .