VírusW32/Mabezat
Data em que surgiu:29/01/2008
Tipo:File infector
Incluído na lista "In The Wild"Sim
Nível de danos:Médio
Nível de distribuição:De médio a elevado
Nível de risco:Alto
Ficheiro estático:Não
Versão do motor antivírus:7.06.00.59

 Vulgarmente Meios de transmissão:
   • Autorun feature (pt)
   • E-mail
   • Infects files (pt)
   • Rede local
   •  Symantec: W32.Mabezat.B!inf
   •  Mcafee: W32/Mabezat.a
   •  Kaspersky: Worm.Win32.Mabezat.b
   •  Sophos: W32/Mabezat-B
   •  VirusBuster: Worm.Mabezat.C
   •  Eset: Win32/Mabezat.A
   •  Bitdefender: Win32.Worm.Mabezat.Gen

File works interdependently with these components: (pt)
   •  WORM/Mabezat.b


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Descarrega ficheiros
   • Descarrega ficheiros maliciosos
   • Infects files (pt)
   • Altera o registo do Windows

 Detecção especial   W32/Mabezat

Descrição:
Rotina de detecção genérica, criada para detectar características comuns de certas famílias, apresentadas em várias versões.

Esta rotina de detecção especial foi desenvolvida para detectar versões ainda não descobertas, e será melhorada constantemente.


Histórico da versão:
Criaram-se as seguintes actualizações do motor de forma a aumentar o grau de detecção:

   •  7.06.00.59   ( 30/01/2008 )
   •  7.09.00.129   ( 26/03/2009 )
   •  7.09.01.00   ( 11/08/2009 )

 Ficheiros Autocopia-se para a seguinte localização:
   • %unidade%\zPharaoh.exe


Criptografia:
It creates new files which are encrypted (P) (pt)

Presta atenção aos seguintes ficheiros:
   • .hlp; .pdf; .html; .txt; .aspx.cs; .aspx; .psd; .mdf; .rtf; .htm;
      .ppt; .php; .asp; .pas; .h; .cpp; .xls; .doc; .rar; .zip; .mdb

No final o ficheiro original é eliminado.



Elimina o seguinte ficheiro:
   • %home%\Local Settings\Application Data\Microsoft\CD Burning\*.*



São criados os seguintes ficheiros:

%unidade%\autorun.inf É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • [AutoRun]
     ShellExecute=zPharaoh.exe
     shell\open\command=zPharaoh.exe
     shell\explore\command=zPharaoh.exe
     open=zPharaoh.exe
     

%home%\Application Data\tazebama\zPharaoh.dat É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • tazebama trojan log file

– %SystemDrive%\Documents and Settings\tazebama.dl_ Além disso executa-se depois de gerado. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Mabezat.b

– %SystemDrive%\Documents and Settings\hook.dl_ Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Mabezat.b

– %SystemDrive%\Start Menu\Programs\Startup\zPharoh.exe Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: WORM/Mabezat.b

– %SystemDrive%\Documents and Settings\tazebama.dll Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Spy.Agent.alv

 Registry (Registo do Windows)  A seguinte chave de registo e todos os valores são eliminados:
   • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun



O seguinte valor do registo é alterado:

Desactiva o Regedit e o Gestor de Tarefas:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Valor recente:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

 Infecção de ficheiros Infector type: (pt)

Infector embedded (pt)


Forma:

Este atacante pesquisa ficheiros activamente.


The following files are infected (P) (pt)

By file type (pt)
   • *.exe

Files in the following directories (pt)
   • %PROGRAM FILES%\
   • %WINDIR%\

 E-mail Utiliza o Microsoft Outlook para enviar emails. Tem as seguintes características:


Para:
– Endereços de email encontrados em determinados ficheiros no sistema.


Formato do email:



Assunto: ABOUT PEOPLE WITH WHOM MATRIMONY IS PROHIBITED
Body:
   • 1 : If a man commits adultery with a woman, then it is not permissible for him to marry her mother or her daughters.
     
     2 : If a woman out of sexual passion and with evil intent commits sexual intercourse with a man, then it is not permissible for the mother or daughters of that woman to merry that man. In the same way, the man who committed sexual intercourse with a woman, because prohibited for her mother and daughters.
     
     Download the attached article to read.
Atalho:
   • PROHIBITED_MATRIMONY.rar



Assunto: Windows secrets
Body:
   • The attached article is on "how to make a folder password". If your are interested in this article download it, if you are not delete it.
Atalho:
   • FolderPW_CH(1).rar



Assunto: Canada immigration
Body:
   • The debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventually lead to a shrinking populace. Baby bonuses and other such incentives couldn't convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050.
     Download the attached file to know about the required forms.
     The sender of this email got this article from our side and forwarded it to you.
Atalho:
   • IMM_Forms_E01.rar



Assunto: Viruses history
Body:
   • Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There are a lot of kinds of viruses. The common and popular kind is called "Trojan.Backdoor" which runs as a backdoor of the victim machine. This enables the virus to have a full remote administration of the victim machine. To read the full story about the viruses history since 1970 download the attached and decompress It by WinRAR.
     
     The sender has red the story and forwarded it to you.
Atalho:
   • virushistory.rar



Assunto: Web designer vacancy
Body:
   • Fortunately, we have recently received your CV/Resume from moister web site
     and we found it matching the job requirements we offer.
     If your are interested in this job Please send us an updated CV showing the required items with the attached file that we sent.
     
     Thanks & Regards,
     Ajy Bokra
     Computer department.
     AjyBokra@webconsulting.com
Atalho:
   • JobDetails.rar



Assunto: MBA new vision
Body:
   • MBA (Master of business administration ) one of the most required degree around the world. We offer a lot of books helping you to gain this degree. We attached one of our .doc word formatted books on "Marketing basics" to download.
     
     
     Our web site http://www.tazeunv.edu.cr/mba/info.htm
     
     Contacts:
     Human resource
     Ajy klaf
     AjyKolav@tazeunv.com
     
     The sender has added your name to be informed with our services.
Atalho:
   • Marketing.rar



Assunto: problem
Body:
   • When I had opened your last email I received some errors have been saved in the attached file.
      Please inform me with those errors as soon as possible.
Atalho:
   • outlooklog.rar



Assunto: I forwarded the attached file again to evaluate your self.
Body:
   • Unfortunately, I received unformatted email with an attached file from you. I couldn't understand what is behind the words.
     I wish you next time send me a readable file!.
Atalho:
   • notes.rar


Atalho:

O ficheiro de atalho contém uma cópia do próprio malware.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:


Procura o seguinte directório:
   • %todas as pastas%

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • Adjust Time.exe; AmericanOnLine.exe; Antenna2Net.exe;
      BrowseAllUsers.exe; CD Burner.exe; Crack_GoogleEarthPro.exe; Disk
      Defragmenter.exe; FaxSend.exe; FloppyDiskPartion.exe;
      GoogleToolbarNotifier.exe; HP_LaserJetAllInOneConfig.exe; IDE Conector
      P2P.exe; InstallMSN11Ar.exe; InstallMSN11En.exe; JetAudio dump.exe;
      KasperSky6.0 Key.doc.exe; Lock Folder.exe; LockWindowsPartition.exe;
      Make Windows Original.exe; MakeUrOwnFamilyTree.exe; Microsoft MSN.exe;
      Microsoft Windows Network.exe; msjavx86.exe; My documents .exe;
      NokiaN73Tools.exe; Office2003 CD-Key.doc.exe; Office2007
      Serial.txt.exe; PanasonicDVD_DigitalCam.exe; RadioTV.exe; Readme.doc
      .exe; readthis.doc.exe; Recycle Bin.exe; RecycleBinProtect.exe;
      ShowDesktop.exe; Sony Erikson DigitalCam.exe; Win98compatibleXP.exe;
      Windows Keys Secrets.exe; WindowsXp StartMenu Settings.exe;
      WinrRarSerialInstall.exe; %nome da pasta actual% .exe

   Os ficheiros são cópias do próprio malware.


Procura o seguinte directório:
   • %todas as pastas%

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • windows.rar
   • office_crack.rar
   • serials.rar
   • passwords.rar
   • windows_secrets.rar
   • source.rar
   • imp_data.rar
   • documents_backup.rar
   • backup.rar
   • MyDocuments.rar

   O ficheiro comprimido contém uma cópia do malware.

 Infecção da rede  Para assegurar a sua propagação o malware tenta ligar-se a outras máquinas como descrito abaixo.


Usa a seguinte informação de login para ganhar acesso à máquina remota:

– O seguinte nome de utilizador :
   • Administrator

– A seguinte lista de palavras-chave:
   • 123
   • abc


 Informações diversas  Procura uma ligação de internet contactando um dos seguintes web sites:
   • http://www.microsoft.com
   • http://www.hotmail.com
   • http://www.yahoo.com
   • http://www.britishcouncil.com

Descrição enviada por Razvan Olteanu em terça-feira, 16 de fevereiro de 2010
Descrição atualizada por Andrei Ivanes em quarta-feira, 17 de fevereiro de 2010

Voltar . . . .