Nome del virus:W32/Mabezat
Scoperto:29/01/2008
Tipo:File Infector
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Alto
File statico:No
Versione del motore:7.06.00.59

 Generale Metodi di propagazione:
   • Autorun feature (it)
   • Email
   • Infects files (it)
   • Rete locale
   •  Symantec: W32.Mabezat.B!inf
   •  Mcafee: W32/Mabezat.a
   •  Kaspersky: Worm.Win32.Mabezat.b
   •  Sophos: W32/Mabezat-B
   •  VirusBuster: Worm.Mabezat.C
   •  Eset: Win32/Mabezat.A
   •  Bitdefender: Win32.Worm.Mabezat.Gen

File works interdependently with these components: (it)
   •  WORM/Mabezat.b


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Duplica file
   • Duplica file “maligni”
   • Infects files (it)
   • Modifica del registro

 Identificazione speciale  W32/Mabezat

Descrizione:
Una procedura di individuazione generica progettata per identificare caratteristiche comuni alle diverse varianti della stessa famiglia del virus.

Questa speciale procedura è stata sviluppata per individuare varianti sconosciute e verrà potenziata continuamente.


Storico delle versioni:
Sono stati rilasciati i seguenti aggiornamenti del motore per potenziare la proprietà di individuazione:

   •  7.06.00.59   ( 30/01/2008 )
   •  7.09.00.129   ( 26/03/2009 )
   •  7.09.01.00   ( 11/08/2009 )

 File Si copia alla seguente posizione:
   • %unità disco%\zPharaoh.exe


Crittografia:
Crea dei nuovi file che sono copie crittografate dei file trovati.

Occorre fare attenzione ai seguenti tipi di file:
   • .hlp; .pdf; .html; .txt; .aspx.cs; .aspx; .psd; .mdf; .rtf; .htm;
      .ppt; .php; .asp; .pas; .h; .cpp; .xls; .doc; .rar; .zip; .mdb

In seguito viene eliminato il file originale.



Cancella il seguente file:
   • %home%\Local Settings\Application Data\Microsoft\CD Burning\*.*



Vengono creati i seguenti file:

%unità disco%\autorun.inf Questo è un file di testo “non maligno” con il seguente contenuto:
   • [AutoRun]
     ShellExecute=zPharaoh.exe
     shell\open\command=zPharaoh.exe
     shell\explore\command=zPharaoh.exe
     open=zPharaoh.exe
     

%home%\Application Data\tazebama\zPharaoh.dat Questo è un file di testo “non maligno” con il seguente contenuto:
   • tazebama trojan log file

– %SystemDrive%\Documents and Settings\tazebama.dl_ Viene eseguito ulteriormente dopo che è stato completamente creato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Mabezat.b

– %SystemDrive%\Documents and Settings\hook.dl_ Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Mabezat.b

– %SystemDrive%\Start Menu\Programs\Startup\zPharoh.exe Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: WORM/Mabezat.b

– %SystemDrive%\Documents and Settings\tazebama.dll Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Spy.Agent.alv

 Registro  La seguente chiave di registro che include tutti i valori e le sottochiavi, viene rimossa:
   • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun



Viene cambiata la seguente chiave di registro:

Varie opzioni di Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Nuovo valore:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

 File virale Infector type: (it)

Infector embedded (it)


Metodo:

Questo virus ad azione diretta ricerca attivamente dei file.


The following files are infected (P) (it)

By file type (it)
   • *.exe

Files in the following directories (it)
   • %PROGRAM FILES%\
   • %WINDIR%\

 Email Usa Microsoft Outlook per inviare le email. Le caratteristiche sono descritte sotto:


A:
– Indirizzi email trovati in specifici file sul sistema.


Design delle email:



Oggetto: ABOUT PEOPLE WITH WHOM MATRIMONY IS PROHIBITED
Corpo della mail:
   • 1 : If a man commits adultery with a woman, then it is not permissible for him to marry her mother or her daughters.
     
     2 : If a woman out of sexual passion and with evil intent commits sexual intercourse with a man, then it is not permissible for the mother or daughters of that woman to merry that man. In the same way, the man who committed sexual intercourse with a woman, because prohibited for her mother and daughters.
     
     Download the attached article to read.
Allegato:
   • PROHIBITED_MATRIMONY.rar



Oggetto: Windows secrets
Corpo della mail:
   • The attached article is on "how to make a folder password". If your are interested in this article download it, if you are not delete it.
Allegato:
   • FolderPW_CH(1).rar



Oggetto: Canada immigration
Corpo della mail:
   • The debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventually lead to a shrinking populace. Baby bonuses and other such incentives couldn't convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050.
     Download the attached file to know about the required forms.
     The sender of this email got this article from our side and forwarded it to you.
Allegato:
   • IMM_Forms_E01.rar



Oggetto: Viruses history
Corpo della mail:
   • Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There are a lot of kinds of viruses. The common and popular kind is called "Trojan.Backdoor" which runs as a backdoor of the victim machine. This enables the virus to have a full remote administration of the victim machine. To read the full story about the viruses history since 1970 download the attached and decompress It by WinRAR.
     
     The sender has red the story and forwarded it to you.
Allegato:
   • virushistory.rar



Oggetto: Web designer vacancy
Corpo della mail:
   • Fortunately, we have recently received your CV/Resume from moister web site
     and we found it matching the job requirements we offer.
     If your are interested in this job Please send us an updated CV showing the required items with the attached file that we sent.
     
     Thanks & Regards,
     Ajy Bokra
     Computer department.
     AjyBokra@webconsulting.com
Allegato:
   • JobDetails.rar



Oggetto: MBA new vision
Corpo della mail:
   • MBA (Master of business administration ) one of the most required degree around the world. We offer a lot of books helping you to gain this degree. We attached one of our .doc word formatted books on "Marketing basics" to download.
     
     
     Our web site http://www.tazeunv.edu.cr/mba/info.htm
     
     Contacts:
     Human resource
     Ajy klaf
     AjyKolav@tazeunv.com
     
     The sender has added your name to be informed with our services.
Allegato:
   • Marketing.rar



Oggetto: problem
Corpo della mail:
   • When I had opened your last email I received some errors have been saved in the attached file.
      Please inform me with those errors as soon as possible.
Allegato:
   • outlooklog.rar



Oggetto: I forwarded the attached file again to evaluate your self.
Corpo della mail:
   • Unfortunately, I received unformatted email with an attached file from you. I couldn't understand what is behind the words.
     I wish you next time send me a readable file!.
Allegato:
   • notes.rar


File allegato:

L'allegato è un archivio che contiene una copia del malware stesso.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


Cerca la seguente directory:
   • %tutte le directory%

   Se riuscito, i seguenti file vengono creati:
   • Adjust Time.exe; AmericanOnLine.exe; Antenna2Net.exe;
      BrowseAllUsers.exe; CD Burner.exe; Crack_GoogleEarthPro.exe; Disk
      Defragmenter.exe; FaxSend.exe; FloppyDiskPartion.exe;
      GoogleToolbarNotifier.exe; HP_LaserJetAllInOneConfig.exe; IDE Conector
      P2P.exe; InstallMSN11Ar.exe; InstallMSN11En.exe; JetAudio dump.exe;
      KasperSky6.0 Key.doc.exe; Lock Folder.exe; LockWindowsPartition.exe;
      Make Windows Original.exe; MakeUrOwnFamilyTree.exe; Microsoft MSN.exe;
      Microsoft Windows Network.exe; msjavx86.exe; My documents .exe;
      NokiaN73Tools.exe; Office2003 CD-Key.doc.exe; Office2007
      Serial.txt.exe; PanasonicDVD_DigitalCam.exe; RadioTV.exe; Readme.doc
      .exe; readthis.doc.exe; Recycle Bin.exe; RecycleBinProtect.exe;
      ShowDesktop.exe; Sony Erikson DigitalCam.exe; Win98compatibleXP.exe;
      Windows Keys Secrets.exe; WindowsXp StartMenu Settings.exe;
      WinrRarSerialInstall.exe; %nome della directory corrente% .exe

   Questi file sono copie del malware stesso.


Cerca la seguente directory:
   • %tutte le directory%

   Se riuscito, i seguenti file vengono creati:
   • windows.rar
   • office_crack.rar
   • serials.rar
   • passwords.rar
   • windows_secrets.rar
   • source.rar
   • imp_data.rar
   • documents_backup.rar
   • backup.rar
   • MyDocuments.rar

   L'archivio contiene al suo interno una copia del malware.

 “Infezione” della rete Per assicurarsi la propria propagazione, il malware tenta di connettersi ad altre macchine come descritto qui sotto:


Utilizza le seguenti informazioni di login per aprirsi l'accesso alla macchina remota:

– Il seguente Nome Utente:
   • Administrator

– La seguente lista di Password:
   • 123
   • abc


 Varie  Verifica la presenza di una connessione ad internet contattando i seguenti siti web:
   • http://www.microsoft.com
   • http://www.hotmail.com
   • http://www.yahoo.com
   • http://www.britishcouncil.com

Descrizione inserita da Razvan Olteanu su martedì 16 febbraio 2010
Descrizione aggiornata da Andrei Ivanes su mercoledì 17 febbraio 2010

Indietro . . . .