¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:W32/Mabezat
Descubierto:29/01/2008
Tipo:Infector de ficheros
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio-alto
Potencial dañino:Alto
Fichero estático:No
Versión del motor antivirus:7.06.00.59

 General Métodos de propagación:
   • Autorun feature (es)
   • Correo electrónico
   • Infects files (es)
   • Red local
   •  Symantec: W32.Mabezat.B!inf
   •  Mcafee: W32/Mabezat.a
   •  Kaspersky: Worm.Win32.Mabezat.b
   •  Sophos: W32/Mabezat-B
   •  VirusBuster: Worm.Mabezat.C
   •  Eset: Win32/Mabezat.A
   •  Bitdefender: Win32.Worm.Mabezat.Gen

File works interdependently with these components: (es)
   •  WORM/Mabezat.b


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Suelta ficheros dañinos
   • Infects files (es)
   • Modificaciones en el registro

 Detección especial  W32/Mabezat

Descripción:
Una rutina de detección genérica, creada para detectar las características comunes de ciertas familias, presentadas en varias versiones.

Esta rutina de detección especial ha sido desarrollada para detectar las versiones aún no descubiertas, y será mejorada constantemente.


Historial de la versión:
Se han creado las siguientes actualizaciones del motor para aumentar el grado de detección:

   •  7.06.00.59   ( 30/01/2008 )
   •  7.09.00.129   ( 26/03/2009 )
   •  7.09.01.00   ( 11/08/2009 )

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • \zPharaoh.exe


Cifrado:
Se crean ficheros nuevos y éstos son versiones cifradas de los ficheros detectados

Se presta atención a los siguientes tipos de fichero:
   • .hlp; .pdf; .html; .txt; .aspx.cs; .aspx; .psd; .mdf; .rtf; .htm;
      .ppt; .php; .asp; .pas; .h; .cpp; .xls; .doc; .rar; .zip; .mdb

El fichero original se borra después.



Elimina el siguiente fichero:
   • %home%\Local Settings\Application Data\Microsoft\CD Burning\*.*



Crea los siguientes ficheros:

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [AutoRun]
     ShellExecute=zPharaoh.exe
     shell\open\command=zPharaoh.exe
     shell\explore\command=zPharaoh.exe
     open=zPharaoh.exe
     

%home%\Application Data\tazebama\zPharaoh.dat Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • tazebama trojan log file

– %SystemDrive%\Documents and Settings\tazebama.dl_ Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Mabezat.b

– %SystemDrive%\Documents and Settings\hook.dl_ Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Mabezat.b

– %SystemDrive%\Start Menu\Programs\Startup\zPharoh.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Mabezat.b

– %SystemDrive%\Documents and Settings\tazebama.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Agent.alv

 Registro  Elimina la siguiente clave del registro, incluyendo todos sus valores y subclaves:
   • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun



Modifica la siguiente clave del registro:

Varias opciones de configuración en Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Nuevo valor:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

 Infección de ficheros Infector type: (es)

Infector embedded (es)


Método:

Este infector busca ficheros para infectar.


The following files are infected (P) (es)

By file type (es)
   • *.exe

Files in the following directories (es)
   • %PROGRAM FILES%\
   • %WINDIR%\

 Correo electrónico Emplea Microsoft Outlook para enviar mensajes de correo. Las características están descritas abajo:


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.


El diseño de los mensajes de correo:



Asunto: ABOUT PEOPLE WITH WHOM MATRIMONY IS PROHIBITED
Cuerpo del mensaje:
   • 1 : If a man commits adultery with a woman, then it is not permissible for him to marry her mother or her daughters.
     
     2 : If a woman out of sexual passion and with evil intent commits sexual intercourse with a man, then it is not permissible for the mother or daughters of that woman to merry that man. In the same way, the man who committed sexual intercourse with a woman, because prohibited for her mother and daughters.
     
     Download the attached article to read.
Adjunto:
   • PROHIBITED_MATRIMONY.rar



Asunto: Windows secrets
Cuerpo del mensaje:
   • The attached article is on "how to make a folder password". If your are interested in this article download it, if you are not delete it.
Adjunto:
   • FolderPW_CH(1).rar



Asunto: Canada immigration
Cuerpo del mensaje:
   • The debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventually lead to a shrinking populace. Baby bonuses and other such incentives couldn't convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050.
     Download the attached file to know about the required forms.
     The sender of this email got this article from our side and forwarded it to you.
Adjunto:
   • IMM_Forms_E01.rar



Asunto: Viruses history
Cuerpo del mensaje:
   • Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There are a lot of kinds of viruses. The common and popular kind is called "Trojan.Backdoor" which runs as a backdoor of the victim machine. This enables the virus to have a full remote administration of the victim machine. To read the full story about the viruses history since 1970 download the attached and decompress It by WinRAR.
     
     The sender has red the story and forwarded it to you.
Adjunto:
   • virushistory.rar



Asunto: Web designer vacancy
Cuerpo del mensaje:
   • Fortunately, we have recently received your CV/Resume from moister web site
     and we found it matching the job requirements we offer.
     If your are interested in this job Please send us an updated CV showing the required items with the attached file that we sent.
     
     Thanks & Regards,
     Ajy Bokra
     Computer department.
     AjyBokra@webconsulting.com
Adjunto:
   • JobDetails.rar



Asunto: MBA new vision
Cuerpo del mensaje:
   • MBA (Master of business administration ) one of the most required degree around the world. We offer a lot of books helping you to gain this degree. We attached one of our .doc word formatted books on "Marketing basics" to download.
     
     
     Our web site http://www.tazeunv.edu.cr/mba/info.htm
     
     Contacts:
     Human resource
     Ajy klaf
     AjyKolav@tazeunv.com
     
     The sender has added your name to be informed with our services.
Adjunto:
   • Marketing.rar



Asunto: problem
Cuerpo del mensaje:
   • When I had opened your last email I received some errors have been saved in the attached file.
      Please inform me with those errors as soon as possible.
Adjunto:
   • outlooklog.rar



Asunto: I forwarded the attached file again to evaluate your self.
Cuerpo del mensaje:
   • Unfortunately, I received unformatted email with an attached file from you. I couldn't understand what is behind the words.
     I wish you next time send me a readable file!.
Adjunto:
   • notes.rar


Archivo adjunto:

El adjunto es un archivo que contiene una copia del programa viral.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca el siguiente directorio:
   • %todas las carpetas%

   Al tener éxito, crea los siguientes ficheros:
   • Adjust Time.exe; AmericanOnLine.exe; Antenna2Net.exe;
      BrowseAllUsers.exe; CD Burner.exe; Crack_GoogleEarthPro.exe; Disk
      Defragmenter.exe; FaxSend.exe; FloppyDiskPartion.exe;
      GoogleToolbarNotifier.exe; HP_LaserJetAllInOneConfig.exe; IDE Conector
      P2P.exe; InstallMSN11Ar.exe; InstallMSN11En.exe; JetAudio dump.exe;
      KasperSky6.0 Key.doc.exe; Lock Folder.exe; LockWindowsPartition.exe;
      Make Windows Original.exe; MakeUrOwnFamilyTree.exe; Microsoft MSN.exe;
      Microsoft Windows Network.exe; msjavx86.exe; My documents .exe;
      NokiaN73Tools.exe; Office2003 CD-Key.doc.exe; Office2007
      Serial.txt.exe; PanasonicDVD_DigitalCam.exe; RadioTV.exe; Readme.doc
      .exe; readthis.doc.exe; Recycle Bin.exe; RecycleBinProtect.exe;
      ShowDesktop.exe; Sony Erikson DigitalCam.exe; Win98compatibleXP.exe;
      Windows Keys Secrets.exe; WindowsXp StartMenu Settings.exe;
      WinrRarSerialInstall.exe; %nombre del directorio actual% .exe

   Estos ficheros son copias del programa malicioso.


Busca el siguiente directorio:
   • %todas las carpetas%

   Al tener éxito, crea los siguientes ficheros:
   • windows.rar
   • office_crack.rar
   • serials.rar
   • passwords.rar
   • windows_secrets.rar
   • source.rar
   • imp_data.rar
   • documents_backup.rar
   • backup.rar
   • MyDocuments.rar

   El archivo contiene una copia del programa malicioso.

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Emplea la siguiente información de inicio de sesión para obtener el acceso al sistema remoto:

– El siguiente nombre de usuario:
   • Administrator

– El siguiente listado de contraseñas:
   • 123
   • abc


 Informaciones diversas  Para buscar una conexión a Internet, contacta los siguientes sitios web:
   • http://www.microsoft.com
   • http://www.hotmail.com
   • http://www.yahoo.com
   • http://www.britishcouncil.com

Descripción insertada por Razvan Olteanu el martes, 16 de febrero de 2010
Descripción actualizada por Andrei Ivanes el miércoles, 17 de febrero de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.