Имя:W32/Mabezat
Обнаружен:29/01/2008
Вид:Файловый вирус
В реальных условиях:Да
Отмеченные факты заражения:Средний
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Высокий
Файл статистики:Нет
Версия ядра:7.06.00.59

 Общее Методы распространения:
   • Autorun feature (ru)
   • Email
   • Infects files (ru)
   • Локальная сеть
   •  Symantec: W32.Mabezat.B!inf
   •  Mcafee: W32/Mabezat.a
   •  Kaspersky: Worm.Win32.Mabezat.b
   •  Sophos: W32/Mabezat-B
   •  VirusBuster: Worm.Mabezat.C
   •  Eset: Win32/Mabezat.A
   •  Bitdefender: Win32.Worm.Mabezat.Gen

File works interdependently with these components: (ru)
   •  WORM/Mabezat.b


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Создает вредоносные файлы
   • Infects files (ru)
   • Изменение реестра

 Особое обнаружение  W32/Mabezat

Описание:
Групповая функция обнаружения для распознавания общих фамильных признаков различных вариантов.

Данная функция обнаружения была разработана для распознавания неизвестных вариантов. Она постоянно развивается и совершенствуется.


Список версий:
Для улучшения обнаружения ядро обновляется следующими версиями:

   •  7.06.00.59   ( 30/01/2008 )
   •  7.09.00.129   ( 26/03/2009 )
   •  7.09.01.00   ( 11/08/2009 )

 Файлы Создается собственная копия:
   • %Диск%\zPharaoh.exe


Шифрование:
Создаются новые файлы. Файлы являются зашифрованными версиями обнаруженных файлов.

Принимаются во внимание следующие типы файлов:
   • .hlp; .pdf; .html; .txt; .aspx.cs; .aspx; .psd; .mdf; .rtf; .htm;
      .ppt; .php; .asp; .pas; .h; .cpp; .xls; .doc; .rar; .zip; .mdb

Оригинальный файл по завершении удаляется.



Удаляется следующий файл:
   • %home%\Local Settings\Application Data\Microsoft\CD Burning\*.*



Создаются следующие файлы:

%Диск%\autorun.inf Файл является безвредным текстовым файлом со следующим содержимым:
   • [AutoRun]
     ShellExecute=zPharaoh.exe
     shell\open\command=zPharaoh.exe
     shell\explore\command=zPharaoh.exe
     open=zPharaoh.exe
     

%home%\Application Data\tazebama\zPharaoh.dat Файл является безвредным текстовым файлом со следующим содержимым:
   • tazebama trojan log file

– %SystemDrive%\Documents and Settings\tazebama.dl_ После полного завершения процесса создания он запускается на выполнение. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: WORM/Mabezat.b

– %SystemDrive%\Documents and Settings\hook.dl_ Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: WORM/Mabezat.b

– %SystemDrive%\Start Menu\Programs\Startup\zPharoh.exe Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: WORM/Mabezat.b

– %SystemDrive%\Documents and Settings\tazebama.dll Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Spy.Agent.alv

 Реестр  Удаляются все значения следующего ключа реестра и его подключей:
   • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun



Изменяется следующий ключ реестра:

Различные настройки Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
   Новое значение:
   • "Hidden"=dword:00000002
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

 Инфицирование файлов Infector type: (ru)

Infector embedded (ru)


Метод:

Этот вирус занят активным поиском файлов.


The following files are infected (P) (ru)

By file type (ru)
   • *.exe

Files in the following directories (ru)
   • %PROGRAM FILES%\
   • %WINDIR%\

 Email Программа использует Microsoft Oulook для рассылки электронных писем. Подробности приводятся здесь:


Кому:
– В определенных файлах системы были обнаружены электронные адреса.


Дизайн писем:
Тема: ABOUT PEOPLE WITH WHOM MATRIMONY IS PROHIBITED
Текст письма:
   • 1 : If a man commits adultery with a woman, then it is not permissible for him to marry her mother or her daughters.
     
     2 : If a woman out of sexual passion and with evil intent commits sexual intercourse with a man, then it is not permissible for the mother or daughters of that woman to merry that man. In the same way, the man who committed sexual intercourse with a woman, because prohibited for her mother and daughters.
     
     Download the attached article to read.
Прикрепленный файл:
   • PROHIBITED_MATRIMONY.rar
Тема: Windows secrets
Текст письма:
   • The attached article is on "how to make a folder password". If your are interested in this article download it, if you are not delete it.
Прикрепленный файл:
   • FolderPW_CH(1).rar
Тема: Canada immigration
Текст письма:
   • The debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventually lead to a shrinking populace. Baby bonuses and other such incentives couldn't convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050.
     Download the attached file to know about the required forms.
     The sender of this email got this article from our side and forwarded it to you.
Прикрепленный файл:
   • IMM_Forms_E01.rar
Тема: Viruses history
Текст письма:
   • Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There are a lot of kinds of viruses. The common and popular kind is called "Trojan.Backdoor" which runs as a backdoor of the victim machine. This enables the virus to have a full remote administration of the victim machine. To read the full story about the viruses history since 1970 download the attached and decompress It by WinRAR.
     
     The sender has red the story and forwarded it to you.
Прикрепленный файл:
   • virushistory.rar
Тема: Web designer vacancy
Текст письма:
   • Fortunately, we have recently received your CV/Resume from moister web site
     and we found it matching the job requirements we offer.
     If your are interested in this job Please send us an updated CV showing the required items with the attached file that we sent.
     
     Thanks & Regards,
     Ajy Bokra
     Computer department.
     AjyBokra@webconsulting.com
Прикрепленный файл:
   • JobDetails.rar
Тема: MBA new vision
Текст письма:
   • MBA (Master of business administration ) one of the most required degree around the world. We offer a lot of books helping you to gain this degree. We attached one of our .doc word formatted books on "Marketing basics" to download.
     
     
     Our web site http://www.tazeunv.edu.cr/mba/info.htm
     
     Contacts:
     Human resource
     Ajy klaf
     AjyKolav@tazeunv.com
     
     The sender has added your name to be informed with our services.
Прикрепленный файл:
   • Marketing.rar
Тема: problem
Текст письма:
   • When I had opened your last email I received some errors have been saved in the attached file.
      Please inform me with those errors as soon as possible.
Прикрепленный файл:
   • outlooklog.rar
Тема: I forwarded the attached file again to evaluate your self.
Текст письма:
   • Unfortunately, I received unformatted email with an attached file from you. I couldn't understand what is behind the words.
     I wish you next time send me a readable file!.
Прикрепленный файл:
   • notes.rar


Прикрепленный файл:

Прикрепленный архивный файл содержит копию потенциально опасной программы.

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия: Производится поиск папки:
   • %все папки%

   При успешном завершении поиска создаются следующие файлы:
   • Adjust Time.exe; AmericanOnLine.exe; Antenna2Net.exe;
      BrowseAllUsers.exe; CD Burner.exe; Crack_GoogleEarthPro.exe; Disk
      Defragmenter.exe; FaxSend.exe; FloppyDiskPartion.exe;
      GoogleToolbarNotifier.exe; HP_LaserJetAllInOneConfig.exe; IDE Conector
      P2P.exe; InstallMSN11Ar.exe; InstallMSN11En.exe; JetAudio dump.exe;
      KasperSky6.0 Key.doc.exe; Lock Folder.exe; LockWindowsPartition.exe;
      Make Windows Original.exe; MakeUrOwnFamilyTree.exe; Microsoft MSN.exe;
      Microsoft Windows Network.exe; msjavx86.exe; My documents .exe;
      NokiaN73Tools.exe; Office2003 CD-Key.doc.exe; Office2007
      Serial.txt.exe; PanasonicDVD_DigitalCam.exe; RadioTV.exe; Readme.doc
      .exe; readthis.doc.exe; Recycle Bin.exe; RecycleBinProtect.exe;
      ShowDesktop.exe; Sony Erikson DigitalCam.exe; Win98compatibleXP.exe;
      Windows Keys Secrets.exe; WindowsXp StartMenu Settings.exe;
      WinrRarSerialInstall.exe; %текущее имя папки%
      .exe

   Файлы являются копиями потенциально опасной программы Производится поиск папки:
   • %все папки%

   При успешном завершении поиска создаются следующие файлы:
   • windows.rar
   • office_crack.rar
   • serials.rar
   • passwords.rar
   • windows_secrets.rar
   • source.rar
   • imp_data.rar
   • documents_backup.rar
   • backup.rar
   • MyDocuments.rar

   Архив содержит копию потенциально опасной программы

 Сетевое инфицирование Вредоносная программа пытается установить соединение с другим компьютером для целей дальнейшего распространения. Подробности приводятся далее.


Для обеспечения доступа к удаленному компьютеру используется следующая регистрационная информация:

– Следующее имя пользователя:
   • Administrator

– Список паролей:
   • 123
   • abc


 Разное  Связывается со следующими веб-сайтами для проверки установленного Интернет-соединения:
   • http://www.microsoft.com
   • http://www.hotmail.com
   • http://www.yahoo.com
   • http://www.britishcouncil.com

Описание добавил Razvan Olteanu в(о) вторник, 16 февраля 2010 г.
Описание обновил Andrei Ivanes в(о) среда, 17 февраля 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.