Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:W32/Mabezat
La date de la dcouverte:29/01/2008
Type:Infecteur de fichier
En circulation:Oui
Infections signales Moyen
Potentiel de distribution:Moyen lev
Potentiel de destruction:lev
Fichier statique:Non
Version du moteur de scan:7.06.00.59

 Gnral Mthodes de propagation:
    Autorun feature (fr)
   • Email
    Infects files (fr)
   • Le rseau local
   •  Symantec: W32.Mabezat.B!inf
   •  Mcafee: W32/Mabezat.a
   •  Kaspersky: Worm.Win32.Mabezat.b
   •  Sophos: W32/Mabezat-B
   •  VirusBuster: Worm.Mabezat.C
   •  Eset: Win32/Mabezat.A
   •  Bitdefender: Win32.Worm.Mabezat.Gen

File works interdependently with these components: (fr)
     WORM/Mabezat.b


Plateformes / Systmes d'exploitation:
   • Windows 96
   • Windows 99
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il cre des fichiers
   • Il cre des fichiers malveillants
Infects files (fr)
   • Il modifie des registres

 Dtection spciale  W32/Mabezat

Description:
Une routine gnrique de reconnaissance pour reconnaitre les nouvelles fonctions communs familiales des diffrentes variantes.

Cette routine gnrique de reconnaissance a t dveloppe pour reconnaitre des variantes non connues. Elle va tre perfectionne de faon continue.

Historique de la version:
Les mises jour suivantes du moteur ont t cres afin d'amliorer la dtection:

     7.06.00.59   ( 30/01/2008 )
     7.09.00.129   ( 26/03/2009 )
     7.09.01.00   ( 11/08/2009 )

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • \zPharaoh.exe


Chiffrement:
Le Malware cre des fichiers nouveaux. Ce sont des versions codes. (P)

On analyse les types de fichier mentionns ci-aprs:
   • .hlp; .pdf; .html; .txt; .aspx.cs; .aspx; .psd; .mdf; .rtf; .htm;
      .ppt; .php; .asp; .pas; .h; .cpp; .xls; .doc; .rar; .zip; .mdb

Ensuite le fichier originel est supprim.



Il supprime le fichier suivant:
   • %home%\Local Settings\Application Data\Microsoft\CD Burning\*.*



Les fichiers suivants sont crs:

\autorun.inf Ceci est un fichier texte non malveillant avec le contenu suivant:
   • [AutoRun]
     ShellExecute=zPharaoh.exe
     shell\open\command=zPharaoh.exe
     shell\explore\command=zPharaoh.exe
     open=zPharaoh.exe
     

%home%\Application Data\tazebama\zPharaoh.dat Ceci est un fichier texte non malveillant avec le contenu suivant:
   • tazebama trojan log file

%SystemDrive%\Documents and Settings\tazebama.dl_ Ensuite, il est excut aprs avoir t completment cre. Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: WORM/Mabezat.b

%SystemDrive%\Documents and Settings\hook.dl_ Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: WORM/Mabezat.b

%SystemDrive%\Start Menu\Programs\Startup\zPharoh.exe Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: WORM/Mabezat.b

%SystemDrive%\Documents and Settings\tazebama.dll Les investigations ultrieures ont prouv que ce ficher est galement un Malware. Dtect comme: TR/Spy.Agent.alv

 Registre  La cl de registre suivante, y compris toutes les valeurs et les sous-cls, est enleve.
   • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun



La cl de registre suivante est change:

Diffrents rglages pour Explorer:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   La nouvelle valeur:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

 Infecteur Infector type: (fr)

Infector embedded (fr)


Mthode:

Cet infecteur direct cherche activement des fichiers pour les infecter


The following files are infected (P) (fr)

By file type (fr)
   • *.exe

Files in the following directories (fr)
   • %PROGRAM FILES%\
   • %WINDIR%\

 Email Il utilise Microsoft Outlook pour envoyer des emails. Les caractristiques sont dcrites ci-dessous:


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.


Le format des emails:



Sujet: ABOUT PEOPLE WITH WHOM MATRIMONY IS PROHIBITED
Le corps:
   • 1 : If a man commits adultery with a woman, then it is not permissible for him to marry her mother or her daughters.
     
     2 : If a woman out of sexual passion and with evil intent commits sexual intercourse with a man, then it is not permissible for the mother or daughters of that woman to merry that man. In the same way, the man who committed sexual intercourse with a woman, because prohibited for her mother and daughters.
     
     Download the attached article to read.
L'attachement:
   • PROHIBITED_MATRIMONY.rar



Sujet: Windows secrets
Le corps:
   • The attached article is on "how to make a folder password". If your are interested in this article download it, if you are not delete it.
L'attachement:
   • FolderPW_CH(1).rar



Sujet: Canada immigration
Le corps:
   • The debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventually lead to a shrinking populace. Baby bonuses and other such incentives couldn't convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050.
     Download the attached file to know about the required forms.
     The sender of this email got this article from our side and forwarded it to you.
L'attachement:
   • IMM_Forms_E01.rar



Sujet: Viruses history
Le corps:
   • Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There are a lot of kinds of viruses. The common and popular kind is called "Trojan.Backdoor" which runs as a backdoor of the victim machine. This enables the virus to have a full remote administration of the victim machine. To read the full story about the viruses history since 1970 download the attached and decompress It by WinRAR.
     
     The sender has red the story and forwarded it to you.
L'attachement:
   • virushistory.rar



Sujet: Web designer vacancy
Le corps:
   • Fortunately, we have recently received your CV/Resume from moister web site
     and we found it matching the job requirements we offer.
     If your are interested in this job Please send us an updated CV showing the required items with the attached file that we sent.
     
     Thanks & Regards,
     Ajy Bokra
     Computer department.
     AjyBokra@webconsulting.com
L'attachement:
   • JobDetails.rar



Sujet: MBA new vision
Le corps:
   • MBA (Master of business administration ) one of the most required degree around the world. We offer a lot of books helping you to gain this degree. We attached one of our .doc word formatted books on "Marketing basics" to download.
     
     
     Our web site http://www.tazeunv.edu.cr/mba/info.htm
     
     Contacts:
     Human resource
     Ajy klaf
     AjyKolav@tazeunv.com
     
     The sender has added your name to be informed with our services.
L'attachement:
   • Marketing.rar



Sujet: problem
Le corps:
   • When I had opened your last email I received some errors have been saved in the attached file.
      Please inform me with those errors as soon as possible.
L'attachement:
   • outlooklog.rar



Sujet: I forwarded the attached file again to evaluate your self.
Le corps:
   • Unfortunately, I received unformatted email with an attached file from you. I couldn't understand what is behind the words.
     I wish you next time send me a readable file!.
L'attachement:
   • notes.rar


Pice jointe:

La pice jointe est une archive contenant une copie du virus

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise:


Il cherche le rpertoire suivant:
   • %tous les dossiers%

   En cas de succs, les fichiers suivants sont crs:
   • Adjust Time.exe; AmericanOnLine.exe; Antenna2Net.exe;
      BrowseAllUsers.exe; CD Burner.exe; Crack_GoogleEarthPro.exe; Disk
      Defragmenter.exe; FaxSend.exe; FloppyDiskPartion.exe;
      GoogleToolbarNotifier.exe; HP_LaserJetAllInOneConfig.exe; IDE Conector
      P2P.exe; InstallMSN11Ar.exe; InstallMSN11En.exe; JetAudio dump.exe;
      KasperSky6.0 Key.doc.exe; Lock Folder.exe; LockWindowsPartition.exe;
      Make Windows Original.exe; MakeUrOwnFamilyTree.exe; Microsoft MSN.exe;
      Microsoft Windows Network.exe; msjavx86.exe; My documents .exe;
      NokiaN73Tools.exe; Office2003 CD-Key.doc.exe; Office2007
      Serial.txt.exe; PanasonicDVD_DigitalCam.exe; RadioTV.exe; Readme.doc
      .exe; readthis.doc.exe; Recycle Bin.exe; RecycleBinProtect.exe;
      ShowDesktop.exe; Sony Erikson DigitalCam.exe; Win98compatibleXP.exe;
      Windows Keys Secrets.exe; WindowsXp StartMenu Settings.exe;
      WinrRarSerialInstall.exe; %nom de liste actuelle% .exe

   Ces fichiers sont copies du Malware.


Il cherche le rpertoire suivant:
   • %tous les dossiers%

   En cas de succs, les fichiers suivants sont crs:
   • windows.rar
   • office_crack.rar
   • serials.rar
   • passwords.rar
   • windows_secrets.rar
   • source.rar
   • imp_data.rar
   • documents_backup.rar
   • backup.rar
   • MyDocuments.rar

   Le fichier compress contient une copie du Malware.

 Infection du rseau Afin de assurer sa propagation, le malware essaye de se connecter d'autres machines comme dcrit ci-dessous.


Il emploie les informations d'identification suivantes afin de gagner accs la machine distante:

Le nom d'utilisateur suivant:
   • Administrator

La liste suivante de mots de passe:
   • 123
   • abc


 Informations divers  Il vrifie l'existence d'une connexion Internet en contactant les sites web suivants:
   • http://www.microsoft.com
   • http://www.hotmail.com
   • http://www.yahoo.com
   • http://www.britishcouncil.com

Description insérée par Razvan Olteanu le mardi 16 février 2010
Description mise à jour par Andrei Ivanes le mercredi 17 février 2010

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.