¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:W32/Mabezat
Descubierto:29/01/2008
Tipo:Infector de ficheros
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio
Potencial de propagacin:Medio-alto
Potencial daino:Alto
Fichero esttico:No
Versin del motor antivirus:7.06.00.59

 General Mtodos de propagacin:
    Autorun feature (es)
   • Correo electrnico
    Infects files (es)
   • Red local
   •  Symantec: W32.Mabezat.B!inf
   •  Mcafee: W32/Mabezat.a
   •  Kaspersky: Worm.Win32.Mabezat.b
   •  Sophos: W32/Mabezat-B
   •  VirusBuster: Worm.Mabezat.C
   •  Eset: Win32/Mabezat.A
   •  Bitdefender: Win32.Worm.Mabezat.Gen

File works interdependently with these components: (es)
     WORM/Mabezat.b


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Suelta ficheros dainos
Infects files (es)
   • Modificaciones en el registro

 Deteccin especial  W32/Mabezat

Descripcin:
Una rutina de deteccin genrica, creada para detectar las caractersticas comunes de ciertas familias, presentadas en varias versiones.

Esta rutina de deteccin especial ha sido desarrollada para detectar las versiones an no descubiertas, y ser mejorada constantemente.


Historial de la versin:
Se han creado las siguientes actualizaciones del motor para aumentar el grado de deteccin:

     7.06.00.59   ( 30/01/2008 )
     7.09.00.129   ( 26/03/2009 )
     7.09.01.00   ( 11/08/2009 )

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • \zPharaoh.exe


Cifrado:
Se crean ficheros nuevos y stos son versiones cifradas de los ficheros detectados

Se presta atencin a los siguientes tipos de fichero:
   • .hlp; .pdf; .html; .txt; .aspx.cs; .aspx; .psd; .mdf; .rtf; .htm;
      .ppt; .php; .asp; .pas; .h; .cpp; .xls; .doc; .rar; .zip; .mdb

El fichero original se borra despus.



Elimina el siguiente fichero:
   • %home%\Local Settings\Application Data\Microsoft\CD Burning\*.*



Crea los siguientes ficheros:

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [AutoRun]
     ShellExecute=zPharaoh.exe
     shell\open\command=zPharaoh.exe
     shell\explore\command=zPharaoh.exe
     open=zPharaoh.exe
     

%home%\Application Data\tazebama\zPharaoh.dat Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • tazebama trojan log file

%SystemDrive%\Documents and Settings\tazebama.dl_ Adems, el fichero es ejecutado despus de haber sido creado. Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: WORM/Mabezat.b

%SystemDrive%\Documents and Settings\hook.dl_ Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: WORM/Mabezat.b

%SystemDrive%\Start Menu\Programs\Startup\zPharoh.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: WORM/Mabezat.b

%SystemDrive%\Documents and Settings\tazebama.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Spy.Agent.alv

 Registro  Elimina la siguiente clave del registro, incluyendo todos sus valores y subclaves:
   • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun



Modifica la siguiente clave del registro:

Varias opciones de configuracin en Explorer:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Nuevo valor:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

 Infeccin de ficheros Infector type: (es)

Infector embedded (es)


Mtodo:

Este infector busca ficheros para infectar.


The following files are infected (P) (es)

By file type (es)
   • *.exe

Files in the following directories (es)
   • %PROGRAM FILES%\
   • %WINDIR%\

 Correo electrnico Emplea Microsoft Outlook para enviar mensajes de correo. Las caractersticas estn descritas abajo:


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.


El diseo de los mensajes de correo:



Asunto: ABOUT PEOPLE WITH WHOM MATRIMONY IS PROHIBITED
Cuerpo del mensaje:
   • 1 : If a man commits adultery with a woman, then it is not permissible for him to marry her mother or her daughters.
     
     2 : If a woman out of sexual passion and with evil intent commits sexual intercourse with a man, then it is not permissible for the mother or daughters of that woman to merry that man. In the same way, the man who committed sexual intercourse with a woman, because prohibited for her mother and daughters.
     
     Download the attached article to read.
Adjunto:
   • PROHIBITED_MATRIMONY.rar



Asunto: Windows secrets
Cuerpo del mensaje:
   • The attached article is on "how to make a folder password". If your are interested in this article download it, if you are not delete it.
Adjunto:
   • FolderPW_CH(1).rar



Asunto: Canada immigration
Cuerpo del mensaje:
   • The debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventually lead to a shrinking populace. Baby bonuses and other such incentives couldn't convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050.
     Download the attached file to know about the required forms.
     The sender of this email got this article from our side and forwarded it to you.
Adjunto:
   • IMM_Forms_E01.rar



Asunto: Viruses history
Cuerpo del mensaje:
   • Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There are a lot of kinds of viruses. The common and popular kind is called "Trojan.Backdoor" which runs as a backdoor of the victim machine. This enables the virus to have a full remote administration of the victim machine. To read the full story about the viruses history since 1970 download the attached and decompress It by WinRAR.
     
     The sender has red the story and forwarded it to you.
Adjunto:
   • virushistory.rar



Asunto: Web designer vacancy
Cuerpo del mensaje:
   • Fortunately, we have recently received your CV/Resume from moister web site
     and we found it matching the job requirements we offer.
     If your are interested in this job Please send us an updated CV showing the required items with the attached file that we sent.
     
     Thanks & Regards,
     Ajy Bokra
     Computer department.
     AjyBokra@webconsulting.com
Adjunto:
   • JobDetails.rar



Asunto: MBA new vision
Cuerpo del mensaje:
   • MBA (Master of business administration ) one of the most required degree around the world. We offer a lot of books helping you to gain this degree. We attached one of our .doc word formatted books on "Marketing basics" to download.
     
     
     Our web site http://www.tazeunv.edu.cr/mba/info.htm
     
     Contacts:
     Human resource
     Ajy klaf
     AjyKolav@tazeunv.com
     
     The sender has added your name to be informed with our services.
Adjunto:
   • Marketing.rar



Asunto: problem
Cuerpo del mensaje:
   • When I had opened your last email I received some errors have been saved in the attached file.
      Please inform me with those errors as soon as possible.
Adjunto:
   • outlooklog.rar



Asunto: I forwarded the attached file again to evaluate your self.
Cuerpo del mensaje:
   • Unfortunately, I received unformatted email with an attached file from you. I couldn't understand what is behind the words.
     I wish you next time send me a readable file!.
Adjunto:
   • notes.rar


Archivo adjunto:

El adjunto es un archivo que contiene una copia del programa viral.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca el siguiente directorio:
   • %todas las carpetas%

   Al tener xito, crea los siguientes ficheros:
   • Adjust Time.exe; AmericanOnLine.exe; Antenna2Net.exe;
      BrowseAllUsers.exe; CD Burner.exe; Crack_GoogleEarthPro.exe; Disk
      Defragmenter.exe; FaxSend.exe; FloppyDiskPartion.exe;
      GoogleToolbarNotifier.exe; HP_LaserJetAllInOneConfig.exe; IDE Conector
      P2P.exe; InstallMSN11Ar.exe; InstallMSN11En.exe; JetAudio dump.exe;
      KasperSky6.0 Key.doc.exe; Lock Folder.exe; LockWindowsPartition.exe;
      Make Windows Original.exe; MakeUrOwnFamilyTree.exe; Microsoft MSN.exe;
      Microsoft Windows Network.exe; msjavx86.exe; My documents .exe;
      NokiaN73Tools.exe; Office2003 CD-Key.doc.exe; Office2007
      Serial.txt.exe; PanasonicDVD_DigitalCam.exe; RadioTV.exe; Readme.doc
      .exe; readthis.doc.exe; Recycle Bin.exe; RecycleBinProtect.exe;
      ShowDesktop.exe; Sony Erikson DigitalCam.exe; Win98compatibleXP.exe;
      Windows Keys Secrets.exe; WindowsXp StartMenu Settings.exe;
      WinrRarSerialInstall.exe; %nombre del directorio actual% .exe

   Estos ficheros son copias del programa malicioso.


Busca el siguiente directorio:
   • %todas las carpetas%

   Al tener xito, crea los siguientes ficheros:
   • windows.rar
   • office_crack.rar
   • serials.rar
   • passwords.rar
   • windows_secrets.rar
   • source.rar
   • imp_data.rar
   • documents_backup.rar
   • backup.rar
   • MyDocuments.rar

   El archivo contiene una copia del programa malicioso.

 Infeccin en la red Para asegurar su propagacin, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuacin.


Emplea la siguiente informacin de inicio de sesin para obtener el acceso al sistema remoto:

El siguiente nombre de usuario:
   • Administrator

El siguiente listado de contraseas:
   • 123
   • abc


 Informaciones diversas  Para buscar una conexin a Internet, contacta los siguientes sitios web:
   • http://www.microsoft.com
   • http://www.hotmail.com
   • http://www.yahoo.com
   • http://www.britishcouncil.com

Descripción insertada por Razvan Olteanu el martes 16 de febrero de 2010
Descripción actualizada por Andrei Ivanes el miércoles 17 de febrero de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.