RSS-каналы
Уровень опасности: 1
Следите в 
Worm.Win32.Mabezat.b
| Время детектирования | 02 ноя 2009 16:56 MSK |
| Время выпуска обновления | 07 ноя 2011 20:55 MSK |
| Описание опубликовано | 02 ноя 2009 16:56 MSK |
Технические детали
Деструктивная активность
Рекомендации по удалению
Тема письма:
На всех съемных и локальных дисках, кроме диска C:, червь ищет каталоги с файлами. Внутри этих каталогов червь создает свою копию с именем каталога и расширением "exe":
В этих же каталогах червь создает свою копию под одним из следующих имен:
Также червь пытается создать свои копии в следующих каталогах атакуемых компьютеров:
Червь также может распространяться используя зараженные CD диски, для этого он создает свою копию, а также файл его автозапуска в следующем каталоге:
%ApplicationData%\Microsoft\CD Burning\zPharaoh.exe %ApplicationData%\Microsoft\CD Burning\autorun.inf Всем копиям червя, а также файлам его автозапуска устанавливаются атрибуты "Только чтение" и "Скрытый.
Далее червь блокирует отображение файлов с атрибутом "cкрытый", системных и защищенных файлов, добавив следующую информацию в ключ системного реестра:
Деструктивная активность
Рекомендации по удалению
Технические детали
Червь, создающий свои копии на логических дисках зараженного компьютера пользователя и доступных для записи сетевых ресурсах. Написан на C++.
Деструктивная активность
В процессе выполнения червь извлекает из своего тела следующую библиотеку:
C:\Documents and Settings\tazebama.dll – 32768 байт.которая содержит модуль, извлекающий из тела червя следующие его копии:
%Documents and Settings%\tazebama.dl_ - 154751 байт %Documents and Settings%\hook.dl_ - 154751 байтДля проверки соединения с Интернет, вредонос устанавливает соединение с одним из следующих ресурсов:
http://www.hotmail.com http://www.britishcouncil.com http://www.microsoft.com http://www.yahoo.comДалее червь использует приложение "WinRAR", путь к которому находит, прочитав значение следующего ключа реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\WinRAR.exe]
для архивирования собственного тела с одним из следующих имен:
GoogleToolbarNotifier.exe PanasonicDVD_DigitalCam.exe Antenna2Net.exe RadioTV.exe Microsoft MSN.exe Sony Erikson DigitalCam.exe IDE Conector P2P.exe Windows Keys Secrets.exe FaxSend.exe RecycleBinProtect.exe Disk Defragmenter.exe CD Burner.exe ShowDesktop.exe BrowseAllUsers.exe LockWindowsPartition.exe Win98compatibleXP.exe MakeUrOwnFamilyTree.exe WindowsXp StartMenu Settings.exe Recycle Bin.exe Adjust Time.exe Microsoft Windows Network.exe HP_LaserJetAllInOneConfig.exe FloppyDiskPartion.exe msjavx86.exe AmericanOnLine.exe Crack_GoogleEarthPro.exe Lock Folder.exe InstallMSN11En.exe InstallMSN11Ar.exe JetAudio dump.exe KasperSky6.0 Key.doc.exe Office2007 Serial.txt.exe Office2003 CD-Key.doc.exe Make Windows Original.exe NokiaN73Tools.exe WinrRarSerialInstall.exe My Documents.exe Readme.doc .exe My documents .exeПолученные файлы-архивы используются как вложенные файлы при рассылке писем, которые могут выглядеть следующим образом:
Тема письма:
ABOUT PEOPLE WITH WHOM MATRIMONY IS PROHIBITEDТело письма:
1 : If a man commits adultery with a woman, then it is not permissible for him to marry her mother or her daughters.
2 : If a woman out of sexual passion and with evil intent commits sexual intercourse with a man, then it is not permissible for the mother or daughters of that woman to merry that man. In the same way, the man who committed sexual intercourse with a woman, because prohibited for her mother and daughters.
Download the attached article to read.
Вложенный файл:
PROHIBITED_MATRIMONY.rarТема письма:
Windows secretsТело письма:
The attached article is on
how to make a folder password
. If your are interested in this article download it, if you are not delete it.
Вложенный файл:
FolderPW_CH(1).rarТема письма:
Canada immigrationТело письма:
The debate is no longer about whether Canada should remain open to immigration. That debate became moot when Canadians realized that low birth rates and an aging population would eventually lead to a shrinking populace. Baby bonuses and other such incentives couldn't convince Canadians to have more kids, and demographic experts have forecasted that a Canada without immigration would pretty much disintegrate as a nation by 2050.
Download the attached file to know about the required forms.
The sender of this email got this article from our side and forwarded it to you.
Вложенный файл:
IMM_Forms_E01.rarТема письма:
Viruses historyТело письма:
Nowadays, the viruses have become one of the most dangerous systems to attack the computers. There are a lot of kinds of viruses. The common and popular kind is called
Trojan.Backdoor
which runs as a backdoor of the victim machine. This enables the virus to have a full remote administration of the victim machine. To read the full story about the viruses history since 1970 download the attached and decompress It by WinRAR.
The sender has red the story and forwarded it to you.
Вложенный файл:
virushistory.rarТема письма:
Web designer vacancyТело письма:
Fortunately, we have recently received your CV/Resume from moister web site
and we found it matching the job requirements we offer.
If your are interested in this job Please send us an updated CV showing the required items with the attached file that we sent.
Thanks
Regards,
Ajy Bokra
Computer department.
AjyBokra@webconsulting.com
Вложенный файл:
JobDetails.rarТема письма:
MBA new visionТело письма:
MBA (Master of business administration ) one of the most required degree around the world. We offer a lot of books helping you to gain this degree. We attached one of our .doc word formatted books on
Marketing basics
to download.
Our web site http://ww w.tazeunv.edu.cr/mba/info.htm
Contacts:
Human resource
Ajy klaf
AjyKolav@tazeunv.com
The sender has added your name to be informed with our services.
Вложенный файл:
Marketing.rarТема письма:
problemoТело письма:
When I had opened your last email I received some errors have been saved in the attached file.
Please inform me with those errors as soon as possible.
Вложенный файл:
оutlooklog.rarТема письма:
hiТело письма:
notes.rar
Unfortunately, I received unformatted email with an attached file from you. I couldn't understand what is behind the words.
I wish you next time send me a readable file!.I forwarded the attached file again to evaluate your self.
Вложенный файл:
doc2.rarАдреса для рассылки зараженных писем червь собирает из файлов с расширениями:
.hlp .pdf .html .txt .aspx .cs .aspx .psd .mdf .rtf .htm .ppt .php .asp .pas .h .cpp .xls .doc .rar .zip .mdbСобранные адреса вредонос хранит в лог-файле:
%Application Data%\tazebama\zPharaoh.datЧервь не отсылает письма, если в имени адресата присутствует хоть одно из следующих слов:
MICROSOFT KASPER PANDAПосле этого червь заражает некоторые файлы (в зависимости от размеров секций файлов) с расширениями "lnk", "exe" и "scr", зашифровав свое тело и дописав свою основную часть в конец зараженных файлов. Пути к заражаемым файлам червь читает из ключей системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
таким же образом заражаются файлы из следующего каталога:
%Documents and Setting%\<имя учетной записи текущего пользователя Windows>\Local Settings\Application Data\Microsoft\CD Burning
Если червь обнаруживает файлы с расширением "doc", тогда в том же каталоге создает свою копию с аналогичным именем, дописывая файлу расширение "exe".
На всех съемных и локальных дисках, кроме диска C:, червь ищет каталоги с файлами. Внутри этих каталогов червь создает свою копию с именем каталога и расширением "exe":
<X>\<имя каталога>\<имя каталога>.exeГде <X> - буква съемного или локального диска компьютера пользователя.
В этих же каталогах червь создает свою копию под одним из следующих имен:
GoogleToolbarNotifier.exe PanasonicDVD_DigitalCam.exe Antenna2Net.exe RadioTV.exe Microsoft MSN.exe Sony Erikson DigitalCam.exe IDE Conector P2P.exe Windows Keys Secrets.exe FaxSend.exe RecycleBinProtect.exe Disk Defragmenter.exe CD Burner.exe ShowDesktop.exe BrowseAllUsers.exe LockWindowsPartition.exe Win98compatibleXP.exe MakeUrOwnFamilyTree.exe WindowsXp StartMenu Settings.exe Recycle Bin.exe Adjust Time.exe Microsoft Windows Network.exe HP_LaserJetAllInOneConfig.exe FloppyDiskPartion.exe msjavx86.exe AmericanOnLine.exe Crack_GoogleEarthPro.exe Lock Folder.exe InstallMSN11En.exe InstallMSN11Ar.exe JetAudio dump.exe KasperSky6.0 Key.doc.exe Office2007 Serial.txt.exe Office2003 CD-Key.doc.exe Make Windows Original.exe NokiaN73Tools.exe WinrRarSerialInstall.exe My Documents.exe Readme.doc .exe My documents .exeПосле этого червь получает список IP адресов компьютеров, находящихся в сетевом окружении зараженной машины и записывает свое тело во всех ресурсах, открытых на полный доступ под одним из имен приведенных выше.
Также червь пытается создать свои копии в следующих каталогах атакуемых компьютеров:
<IP адрес>\%Documents and Settings% <IP адрес>\Start Menu\Programs\Startupдля этого он использует следующие учетные записи:
abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789В корне всех логических дисков, доступных для записи, червь создает копию своего тела с именем "zPharaoh.exe": zPharaoh.exe – 154891 байт. В корне тех же дисков создает файл: autorun.inf Данный файл предназначен для автоматического запуска копии червя при обращении к зараженным дискам через проводник Windows.
Червь также может распространяться используя зараженные CD диски, для этого он создает свою копию, а также файл его автозапуска в следующем каталоге:
%ApplicationData%\Microsoft\CD Burning\zPharaoh.exe %ApplicationData%\Microsoft\CD Burning\autorun.inf Всем копиям червя, а также файлам его автозапуска устанавливаются атрибуты "Только чтение" и "Скрытый.
Далее червь блокирует отображение файлов с атрибутом "cкрытый", системных и защищенных файлов, добавив следующую информацию в ключ системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
"HideFileExt" = "1"
"ShowSuperHidden" = "0"
После этого червь отключает блокировку автоматического запуска файлов "autorun.inf", удалив следующий параметр ключа реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо воспользоваться Антивирусом Касперского: произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Worm
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его.
Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).
Другие названия
Worm.
- Trojan-Spy.
Win32. Mabezat. b («Лаборатория Касперского») - File was not downloaded for scan (ClamAV)
- Virus:
Win32/Mabezat. B (MS(OneCare)) - File was not downloaded for scan (DrWeb)
- Win32.
HLLW. Tazebama (DrWeb) - Win32.
Worm. Mabezat. Gen (BitDef7) - Worm.
Mabezat. C (VirusBuster) - Worm.
Win32. Mabezat (Ikarus) - Win32/Mabezat (AVG)
- W32/Mabezat (AVIRA)
- W32/Mabezat.
B (Norman) - Win32.
Mabezat. j (Rising) - Win32.
Worm. Mabezat. Gen [Aquarius] (FSecure) - PE_MABEZAT.
B-1 (TrendMicro) - Worm.
Win32. Mabezat. b (v) (Sunbelt) - Worm.
Mabezat. C (VirusBusterBeta) - W32/Mabezat.
B (Fortinet) - Win32.
Worm. Mabezat. Gen (GData)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей