Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusW32/Mabezat
Data em que surgiu:29/01/2008
Tipo:File infector
Includo na lista "In The Wild"Sim
Nvel de danos:Mdio
Nvel de distribuio:De mdio a elevado
Nvel de risco:Alto
Ficheiro esttico:No
Verso do motor antivrus:7.06.00.59

 Vulgarmente Meios de transmisso:
    Autorun feature (pt)
   • E-mail
    Infects files (pt)
   • Rede local
   •  Symantec: W32.Mabezat.B!inf
   •  Mcafee: W32/Mabezat.a
   •  Kaspersky: Worm.Win32.Mabezat.b
   •  Sophos: W32/Mabezat-B
   •  VirusBuster: Worm.Mabezat.C
   •  Eset: Win32/Mabezat.A
   •  Bitdefender: Win32.Worm.Mabezat.Gen

File works interdependently with these components: (pt)
     WORM/Mabezat.b


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
Infects files (pt)
   • Altera o registo do Windows

 Deteco especial   W32/Mabezat

Descrio:
Rotina de deteco genrica, criada para detectar caractersticas comuns de certas famlias, apresentadas em vrias verses.

Esta rotina de deteco especial foi desenvolvida para detectar verses ainda no descobertas, e ser melhorada constantemente.


Histrico da verso:
Criaram-se as seguintes actualizaes do motor de forma a aumentar o grau de deteco:

     7.06.00.59   ( 30/01/2008 )
     7.09.00.129   ( 26/03/2009 )
     7.09.01.00   ( 11/08/2009 )

 Ficheiros Autocopia-se para a seguinte localizao:
   • %unidade%\zPharaoh.exe


Criptografia:
It creates new files which are encrypted (P) (pt)

Presta ateno aos seguintes ficheiros:
   • .hlp; .pdf; .html; .txt; .aspx.cs; .aspx; .psd; .mdf; .rtf; .htm;
      .ppt; .php; .asp; .pas; .h; .cpp; .xls; .doc; .rar; .zip; .mdb

No final o ficheiro original eliminado.



Elimina o seguinte ficheiro:
   • %home%\Local Settings\Application Data\Microsoft\CD Burning\*.*



So criados os seguintes ficheiros:

%unidade%\autorun.inf um ficheiro de texto no malicioso com o seguinte contedo:
   • [AutoRun]
     ShellExecute=zPharaoh.exe
     shell\open\command=zPharaoh.exe
     shell\explore\command=zPharaoh.exe
     open=zPharaoh.exe
     

%home%\Application Data\tazebama\zPharaoh.dat um ficheiro de texto no malicioso com o seguinte contedo:
   • tazebama trojan log file

%SystemDrive%\Documents and Settings\tazebama.dl_ Alm disso executa-se depois de gerado. Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: WORM/Mabezat.b

%SystemDrive%\Documents and Settings\hook.dl_ Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: WORM/Mabezat.b

%SystemDrive%\Start Menu\Programs\Startup\zPharoh.exe Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: WORM/Mabezat.b

%SystemDrive%\Documents and Settings\tazebama.dll Outras investigaes apontam para que este ficheiro, tambm, seja malware. Detectado como: TR/Spy.Agent.alv

 Registry (Registo do Windows)  A seguinte chave de registo e todos os valores so eliminados:
   • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun



O seguinte valor do registo alterado:

Desactiva o Regedit e o Gestor de Tarefas:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valor recente:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

 Infeco de ficheiros Infector type: (pt)

Infector embedded (pt)


Forma:

Este atacante pesquisa ficheiros activamente.


The following files are infected (P) (pt)

By file type (pt)
   • *.exe

Files in the following directories (pt)
   • %PROGRAM FILES%\
   • %WINDIR%\

 E-mail Utiliza o Microsoft Outlook para enviar emails. Tem as seguintes caractersticas:


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.


Formato do email:



Assunto: ABOUT PEOPLE WITH WHOM MATRIMONY IS PROHIBITED
Body:
   • 1 : If a man commits adultery with a woman, then it is not permissible for him to marry her mother or her daughters.
     
     2 : If a woman out of sexual passion and with evil intent commits sexual intercourse with a man, then it is not permissible for the mother or daughters of that woman to merry that man. In the same way, the man who committed sexual intercourse with a woman, because prohibited for her mother and daughters.
     
     Download the attached article to read.
Atalho:
   • PROHIBITED_MATRIMONY.rar



Assunto: Windows secrets
Body:
   • The attached article is on "how to make a folder password". If your are interested in this article download it, if you are not delete it.
Atalho:
   • FolderPW_CH(1).rar



Assunto: Canada immigration
Body:
   • The debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventually lead to a shrinking populace. Baby bonuses and other such incentives couldn't convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050.
     Download the attached file to know about the required forms.
     The sender of this email got this article from our side and forwarded it to you.
Atalho:
   • IMM_Forms_E01.rar



Assunto: Viruses history
Body:
   • Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There are a lot of kinds of viruses. The common and popular kind is called "Trojan.Backdoor" which runs as a backdoor of the victim machine. This enables the virus to have a full remote administration of the victim machine. To read the full story about the viruses history since 1970 download the attached and decompress It by WinRAR.
     
     The sender has red the story and forwarded it to you.
Atalho:
   • virushistory.rar



Assunto: Web designer vacancy
Body:
   • Fortunately, we have recently received your CV/Resume from moister web site
     and we found it matching the job requirements we offer.
     If your are interested in this job Please send us an updated CV showing the required items with the attached file that we sent.
     
     Thanks & Regards,
     Ajy Bokra
     Computer department.
     AjyBokra@webconsulting.com
Atalho:
   • JobDetails.rar



Assunto: MBA new vision
Body:
   • MBA (Master of business administration ) one of the most required degree around the world. We offer a lot of books helping you to gain this degree. We attached one of our .doc word formatted books on "Marketing basics" to download.
     
     
     Our web site http://www.tazeunv.edu.cr/mba/info.htm
     
     Contacts:
     Human resource
     Ajy klaf
     AjyKolav@tazeunv.com
     
     The sender has added your name to be informed with our services.
Atalho:
   • Marketing.rar



Assunto: problem
Body:
   • When I had opened your last email I received some errors have been saved in the attached file.
      Please inform me with those errors as soon as possible.
Atalho:
   • outlooklog.rar



Assunto: I forwarded the attached file again to evaluate your self.
Body:
   • Unfortunately, I received unformatted email with an attached file from you. I couldn't understand what is behind the words.
     I wish you next time send me a readable file!.
Atalho:
   • notes.rar


Atalho:

O ficheiro de atalho contm uma cpia do prprio malware.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte aco:


Procura o seguinte directrio:
   • %todas as pastas%

   Em caso de ser bem sucedido, so criados os seguintes ficheiros:
   • Adjust Time.exe; AmericanOnLine.exe; Antenna2Net.exe;
      BrowseAllUsers.exe; CD Burner.exe; Crack_GoogleEarthPro.exe; Disk
      Defragmenter.exe; FaxSend.exe; FloppyDiskPartion.exe;
      GoogleToolbarNotifier.exe; HP_LaserJetAllInOneConfig.exe; IDE Conector
      P2P.exe; InstallMSN11Ar.exe; InstallMSN11En.exe; JetAudio dump.exe;
      KasperSky6.0 Key.doc.exe; Lock Folder.exe; LockWindowsPartition.exe;
      Make Windows Original.exe; MakeUrOwnFamilyTree.exe; Microsoft MSN.exe;
      Microsoft Windows Network.exe; msjavx86.exe; My documents .exe;
      NokiaN73Tools.exe; Office2003 CD-Key.doc.exe; Office2007
      Serial.txt.exe; PanasonicDVD_DigitalCam.exe; RadioTV.exe; Readme.doc
      .exe; readthis.doc.exe; Recycle Bin.exe; RecycleBinProtect.exe;
      ShowDesktop.exe; Sony Erikson DigitalCam.exe; Win98compatibleXP.exe;
      Windows Keys Secrets.exe; WindowsXp StartMenu Settings.exe;
      WinrRarSerialInstall.exe; %nome da pasta actual% .exe

   Os ficheiros so cpias do prprio malware.


Procura o seguinte directrio:
   • %todas as pastas%

   Em caso de ser bem sucedido, so criados os seguintes ficheiros:
   • windows.rar
   • office_crack.rar
   • serials.rar
   • passwords.rar
   • windows_secrets.rar
   • source.rar
   • imp_data.rar
   • documents_backup.rar
   • backup.rar
   • MyDocuments.rar

   O ficheiro comprimido contm uma cpia do malware.

 Infeco da rede  Para assegurar a sua propagao o malware tenta ligar-se a outras mquinas como descrito abaixo.


Usa a seguinte informao de login para ganhar acesso mquina remota:

O seguinte nome de utilizador :
   • Administrator

A seguinte lista de palavras-chave:
   • 123
   • abc


 Informaes diversas  Procura uma ligao de internet contactando um dos seguintes web sites:
   • http://www.microsoft.com
   • http://www.hotmail.com
   • http://www.yahoo.com
   • http://www.britishcouncil.com

Descrição enviada por Razvan Olteanu em terça-feira, 16 de fevereiro de 2010
Descrição atualizada por Andrei Ivanes em quarta-feira, 17 de fevereiro de 2010

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.